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版 本 说 明 


从 1.3 升 级 到 2.0 


为 了 帮助 大 伙 儿 升级 ， 我 们 为 现在 的 Apache 用 户 提供 了 一 份 重 要 信息 的 文档 说 明 。 这 些 只 是 
一 些 简 要 说 明 ， 你 可 以 从 新 特性 文档 或 src/cHANGES 文件 中 得 到 更 多 信息 。 


编译 时 配置 的 改变 


Apache 现 在 使 用 autoconf 和 libtool 系 统 来 进行 安装 进程 的 配置 。 这 个 系统 用 起 来 很 像 
Apache1.3 的 APACI 系 统 ， 但 并 不 相同 。 

在 普通 的 选择 编译 模块 的 基础 上 ，Apache2.0 把 请 求 进程 的 主要 部 分 移 到 了 多 路 义理 模块 
(MPM) 里 。 


运行 时 配置 的 改变 


Apache1.3 服 务 器 核心 中 的 很 多 指令 现在 都 放 到 了 MPM 里 面 。 如 果 你 希望 服务 器 的 行为 
能 够 尽量 的 类 似 于 Apache1.3 ， 你 应 当选 择 prefork MPM。 其 他 的 MPM 将 拥有 不 同 的 指 
兮 来 控制 进程 创建 和 请 求 过 程 。 

proxy module 已 经 被 修补 以 兼容 HTTP/1.1。 其 中 重要 的 改变 之 一 是 : 代理 的 访问 控制 现 
在 是 放 在 «Proxy» 段 而 不 是 <Directory proxy: 段 里 面 了 。 

许多 模块 中 PATH INFO (在 真实 文件 名 后 附加 路 径 信 息 ) 的 处 理 有 了 变化 。 以 前 作为 处 理 器 
而 现在 作为 过 滤器 出 现 的 模块 现在 可 能 不 再 接受 包含 PATH INFO 的 请 求 。 诸 如 
INCLUDES 或 PHP 过 滤器 将 在 处 理 核 心 的 最 顶层 得 到 实现 ， 从 而 拒绝 包含 PATH INFO 的 
请 求 。 你 可 以 用 AcceptPathInfo 指令 来 迫使 处 理 核 心 接受 包含 PATH INFO 的 请 求 ， 从 而 
恢复 服务 器 端 包含 中 使 用 PATH INFO 的 能 

CacheNegotiatedDocs 指令 现在 使 用 On 或 Off 参数 了 。 原 有 的 cacheNegotiatedDocs 应 该 
代 之 以 CacheNegotiatedDocs on 

ErrorDocument 指令 不 再 用 引号 开始 的 参数 来 指定 文本 内 容 了 。 取而代之 的 是 用 双 引 号 把 
文本 内 容 括 起 来 。 比 如 原 有 的 配置 : 


ErrorDocument 403 "Some Message 


应 该 代 之 以 : 


ErrorDocument 403 "Some Message" 


只 要 第 二 个 参数 不 是 有 效 的 URL 或 路 径 名 ， 它 就 会 被 当 作 是 一 个 文本 信息 。 
AccessConfig 和 ResourceConfig 指 今 不 复 存 在 了 。 现 有 的 这 些 指令 可 以 用 Include HS 


代 蔡 以 实现 相同 的 功能 。 如 果 你 使 用 的 是 这 些 指 今 的 默认 值 而 没有 把 它们 放 到 配置 文件 
里 的 话 ， 你 可 能 需要 把 " Include conf/access.conf "和 " Include conf/srm.conf "加 到 你 
的 httpd.conf 里 。 为 了 确保 Apache 用 象 以 前 一 样 的 顺序 读 取 这 些 配置 文件 ， 应 该 

把 Include 指使 放 到 httpd.conf 的 结束 部 分 ， 并 将 包含 srm.conf 的 语句 放 在 包 

含 access.conf 的 语句 的 前 面 。 

BindAddress 和 Port 指 倒 不 再 存在 了 。 相 同 的 功能 由 更 加 灵活 的 Listen 指令 提供 。 
Apache1.3 中 port 指令 的 另 一 功能 是 设 定 自 引 用 的 URL 的 端口 。Apache2.0 中 对 等 的 是 
新 的 serverName 语法 : 它 已 经 被 修改 成 在 一 条 指令 里 同时 为 自 引用 的 URL 指 定 服务 器 名 
和 端口 号 。 

serverType 指令 不 复 存 在 了 。 用 于 伺服 请 求 的 方法 现在 取决 于 MPM 的 选择 。 目 前 还 没有 
设计 出 用 于 被 inetd( 端 口 监视 程序 ) 载 人 的 MPM。 

mod log agent 和 mod log referer 被 去 掉 了 。 取代 以 使 用 CustomLog HS 

的 mod log config 模块 。 

AddModule 和 ClearModuleList 指令 不 复 存 在 了 。 这 些 指令 原 用 于 确定 模块 以 正确 的 顺序 
被 激活 。 而 新 的 Apache2.0 API 克 许 模 块 明确 的 指定 它们 的 顺序 ， 从 而 这 些 指令 就 不 再 有 
存在 的 必要 了 。 

FancyIndexing 指令 被 去 掉 了 ， 取而代之 的 是 IndexOptions JE BJ FancyIndexing 选项 。 
由 模块 mod_negotiation 提供 的 MultiViews 内 容 协 商机 制 在 其 默认 文件 匹配 方面 变 得 更 加 
严格 了 ， 只 匹配 允许 协商 的 文件 。 可 以 用 MultiviewsMatch 指 邻 恢复 到 原来 的 匹配 模式 。 
(2.0.51 以 后 ) ErrorHeader 指令 的 功能 合并 到 Header 指令 中 去 了 。 因 为 原来 的 是 一 个 谓 
误 。 应 当 使 用 : 


Header always set foo bar 


代 蔡 原来 的 使 用 方式 。 


项 的 改变 


Apache1.3 中 的 实验 模块 mod_auth_digest 现在 是 基本 模块 了 。 

Apache1.3 中 的 实验 模块 mod mmap static 现在 被 mod_file_cache 代替 了 。 

发 行 包 经 过 了 重新 组 织 ， 从 而 不 再 包含 一 个 独立 的 src 目 录 。 取 而 代 之 的 是 将 源 代 码 有 退 
辑 的 组 织 在 发 行 包 的 主 目录 下 面 。 编 译 后 的 服务 器 的 安装 将 从 各 自 的 目录 下 进行 。 


第 三 方 模块 


Apache2.0 中 的 服务 器 API 有 了 巨大 的 变化 。 现 有 的 为 Apache1.3 设 计 的 模块 未 经 修改 将 不 能 
运行 在 Apache2.0 上 。 详 情 请 参见 开发 者 文档 。 


从 2.0 升 级 到 2.2 


为 了 帮助 大 伙 儿 升级 ， 我 们 为 现在 的 Apache 用 户 提供 了 一 份 重 要 信息 的 文档 说 明 。 这 些 只 是 
一 些 简 要 说 明 ， 你 可 以 从 新 特性 文档 或 src/cHANGES 文件 中 得 到 更 多 信息 。 


这 篇 文档 仅仅 描述 了 从 版 本 2.0 到 2.2 的 变化 ， 如 果 你 是 从 1.3 版 进行 升级 的 ， 请 查考 从 1.3 升 
级 到 2.0 文 档 。 


编译 时 配置 的 改变 


编译 过 程 与 2.0 版 本 非常 相似 ， 你 鲁 经 使 用 过 的 configure 命 合 行 (在 安装 目 录 下 
的 build/config.nice 文件 中 ) 在 某 些 情况 下 仍然 可 以 使 用 。 主 要 是 模块 的 名 称 变化 了 ， 特 别 是 
认证 和 授权 模块 。 具 体 如 下 : 


e mod imap 被 更 名 为 mod imagemap 

mod auth 被 拆 分 为 

mod auth basic 、 mod authn file. mod authz user 、 mod_authz_groupfile 
e mod access 被 更 名 为 ”mod_authz_host 

e mod_auth_Idap 被 更 名 为 mod authnz ldap 

。 需要 使 用 APR 1.0 API 

将 内 置 的 PCRE 升 级 到 5.0 版 本 


行 时 配置 的 改变 


除了 下 面 讨论 的 某 些 特定 配置 需要 进行 很 小 的 调整 以 外 ， 现 存 的 2.0 版 本 的 配置 文件 和 启动 脚 
本 基本 上 不 需要 修改 就 可 以 直接 用 在 2.2 版 本 中 。 另 外 ， 如 果 你 使 用 LoadModule 动态 加 载 了 标 
准 模块 。 你 还 需要 根据 上 面 提 到 的 模块 名 变更 情况 适当 修改 原 有 配置 文件 。 


如 果 你 选择 使 用 新 的 2.2 版 默认 配置 文件 ， 你 将 会 发 现 它 已 经 删除 了 绝 大 多 数 不 属 于 基本 配置 
的 指令 ， 比 以 前 大 大 简化 了 。 在 安装 目录 下 的 conf/extra/ 子 目录 中 ， 有 一 组 包含 许多 高 级 特 
性 的 示例 配置 。 默 认 的 配置 文件 被 安装 在 conf/original 子 目 录 中 。 


一 些 需要 注意 的 运行 时 配置 更 改 : 


*  apachectl 选项 startssl 被 取消 了 。 要 和 启用 SSL 支 持 ， n \ 须 编辑 httpd.conf 文件 ， 在 
其 中 包含 与 mod_ssl 相关 的 指令 ， 然 后 使 用 apachectl start 命令 启动 服务 器 。 我 们 提 
供 了 一 个 示范 如 何 启 用 mod ssl 的 配置 文件 : conf/extra/httpd-ssl.conf o 

e 现在 ， UsecanonicalName 的 默认 值 是 off 。 如 果 原 来 的 配置 文件 中 没有 使 用 这 个 指 今 ， 
你 可 以 在 其 中 添加 usecanonicalName on 以 保持 和 原来 的 行为 相同 。 

。 除非 明确 使 用 userpir 指令 在 配置 文件 中 指定 了 一 个 目录 ， 人 否则 ， mod_userdir 模块 将 不 


会 被 激活 。 若 想 恢 复 到 与 原来 黑 认 行为 相同 ， 你 必须 在 配置 文件 中 添加 一 


ÍT" UserDir public html "。 


杂项 变化 


* mod cache 原来 在 2.0 中 是 试验 模块 ， 现 在 变 成 标准 模块 了 。 

* mod disk cache 原来 在 2.0 中 是 试验 模块 ， 现 在 变 成 标准 模块 了 。 
© mod_mem_cache 原来 在 2.0 中 是 试验 模块 ， 现 在 变 成 标准 模块 了 。 

* mod charset lite 原来 在 2.0 中 是 试验 模块 ， 现在 变 成 标准 模块 了 。 
© mod_dumpio 原来 在 2.0 中 是 试验 模块 ， 现 在 变 成 标准 模块 了 。 


第 三 方 模块 


大 多 数 2.0 版 本 的 第 三 方 模块 可 以 不 加 修改 的 运行 于 2.2 版 本 中 。 但 是 这 些 模块 必须 要 重新 进行 
编译 后 才能 使 用 。 





Apache 2.2 新 特性 概述 


这 篇 文档 简 述 了 Apache HTTP Server 2.0 和 2.2 版 本 之 间 的 主要 差异 。 对 于 1.3 版 本 以 后 的 新 
特性 ， 请 参考 Apache 2.0 新 特性 文档 。 


核心 增强 


认证 /授权 (Authn/Authz) 


原本 捆绑 在 一 起 的 认证 (authentication) 与 授权 (authorization) 模 块 现在 被 分 开 了 。 新 
的 mod authn alias 模块 可 以 极 大 的 简化 某 些 身份 认证 的 配置 。 请 参见 模块 名 的 变更 和 针对 模 
块 开 发 者 的 变更 以 了 解 更 多 有 关 这 些 变更 对 于 模块 使 用 者 和 模块 开发 者 的 影响 。 


缓冲 


mod cache 、 mod disk cache 、 mod mem cache 经 历 了 诸多 修改 以 后 现在 已 经 具 各 了 合格 的 产 
品质 量 了 。 新 增加 的 htcacheclean 工具 可 以 用 来 清理 mod_disk_cache 模块 使 用 的 缓冲 存储 
区 。 


配置 


默认 的 配置 布局 已 经 被 简化 并 模块 化 了 。 和 启用 常用 特性 的 配置 片段 现在 已 经 和 Apache 捆 绑 在 
一 起 ， 可 以 被 轻易 的 添加 到 主 配 置 文件 中 。 


优雅 停止 (Graceful stop) 


prefork, worker, event 多 路 义理 模块 (MPM) 现 在 允许 httpd 通过 graceful-stop 信号 被 
优雅 的 停止 。 可 以 用 新 增 的 GracefulShutdownTimeout 指令 指定 一 个 超时 时 间 ， 超过 指定 的 时 
间 以 后 httpd 将 会 强行 中 止 ， 而 无 论 请 求 所 处 的 服务 状态 如 何 。 


代理 


新 增 的 mod_proxy_balancer 模块 为 mod proxy 提供 了 负载 均衡 服务 。 新 增 的 mod_proxy_ajp 模 
块 为 Apache Tomcat 使 用 的 Apache JServ Protocol version 1.3 提供 了 支持 。 


正则 表达 式 库 更 新 


5.0 版 的 Perl 兼 容 正 则 表达 式 库 (PCRE) 已 经 被 包含 进来 了 。 httpd 现在 可 以 通过 --with-pcre 
编译 选项 使 用 系统 中 已 经 安装 好 的 PCRE。 


智能 过 滤器 


mod filter HJEASEÍT4S Hiit RR ABO. CUI ub JESSIARRGAECKGLEN S EGLI SXEDENERGE 
量 有 条 件 的 插入 ， 这 样 就 避免 了 许多 在 Apache2.0 体 系 结构 中 存在 的 过 滤器 之 间 的 依赖 性 和 顺 
序 问 题 。 


大 文件 支持 


httpd 现 在 已 经 被 构建 为 在 现代 的 32 位 Unix 系 统 上 支持 大 于 2GB 的 文件 。 而 且 也 可 以 处 理 大 于 
2G 的 请 求 体 (request body)。 

Event MPM 

event 多 路 处 理 模 块 (MPM) 使 用 一 个 单独 隔 开 的 线程 处 理 持久 连接 (Keep Alive)。 传 统 上 ， 持 


久 连 接 要 求 httpd 专 门 拿 出 一 个 工作 者 (worker)( 也 就 是 一 个 进程 /线程 ) 来 处 理 它 。 这 个 专用 的 工 
作者 在 持久 连接 超时 前 不 能 被 重新 使 用 。 


SQL 数据 库 支 持 
mod dbd 和 apr_dbd 框 架 (framework) 一 起 为 需要 使 用 数据 库 的 模块 提供 直接 的 支持 。 在 线程 
化 的 MPM 中 还 能 支持 连接 缓冲 池 。 


Windows 用 户 请 注意 ， 这 个 特性 尚未 包含 在 标准 的 windows 版 Apache 中 。 如 果 你 党 试 在 
Windows 平 台 上 使 用 这 个 特性 ， 请 告诉 我 们 你 的 进展 情况 。 


模块 增强 
认证 /授权 (Authn/Authz) 


aaa 目 录 下 的 模块 已 经 被 重新 命名 并 提供 了 对 摘要 认证 (digest authentication) 的 更 好 支持 。 例 
如 ，mod_auth 现 在 已 经 被 分 割 成 mod_auth_basic 和 mod authn file 两 个 模块 ; 
mod_auth_dbm 现 在 更 名 为 mod authn dbm ; mod_access 现 在 更 名 为 mod authz host ; 还 新 
增 了 一 个 mod authn alias 模块 用 于 简化 某 些 认证 配置 。 


mod authnz ldap 


这 个 模块 是 2.0 版 mod auth ldap 模块 到 2.2 版 的 Authn/Authz 框架 的 一 个 移植 。 新 的 特性 包括 
使 用 LDAP 属 性 值 和 Require 指令 中 复 杀 的 搜索 过 滤器 。 


mod info 
添加 了 一 个 新 的 ?config 参数 ， 可 以 用 来 显示 被 Apache 分 析 过 的 配置 指令 ， 包 括 它们 的 文 


件 名 和 行 号 。 该 模块 还 显示 所 有 请 求 钧 子 (reduest hook) 的 顺序 和 额外 的 编译 信息 ， 有 些 类 似 
于 httpd -V 


o 


mod ssl 


添加 了 RFC 2817 支 持 ， 它 允许 连接 从 明文 提升 到 TLS 加 密 。 


mod imagemap 


mod imaptiz 经 被 重 命名 为 mod _imagemap , 以 避免 用 户 产生 混淆 和 疑惑 。 


程序 增强 


httpd 


A 个 新 的 命令 行 选项 -m 用 来 列 出 基于 当前 配置 加 载 的 所 有 模块 。 不 同 于 -1 选项 的 
是 ， 还 列 出 了 通过 mod . SO 加 载 的 DSO( 动 态 共享 对 象 )。 


httxt2dbm 


一 个 用 于 从 文本 输入 产生 dbm 文 件 的 程序 ， 目 的 是 为 了 能 够 在 Rewritemap 中 使 用 dom 映射 表 
(map) 类 型 。 


针对 模块 开发 者 的 变化 
APR 1.0 API 


Apache2.2 使 用 APR 1.0 API 。 所 有 反对 使 用 的 函数 和 符号 已 经 从 APR 和 apr-util 中 清 
除 掉 了 。 欲 知 详情 ， 请 查看 APR 网 站 。 


认证 /授权 (Authn/Authz) 
原来 捆绑 在 一 起 的 认证 和 授权 模块 已 经 被 按照 下 列 规则 进行 了 重 命名 : 


e modauth* -> 实现 HTTP 认 证 机 制 的 模块 

e modauthn* -> 实现 后 端 认证 支持 者 的 模块 
。 modauthz* -> 实现 授权 (或 访问 ) 的 模块 

。 modauthnz* -> 同时 实现 认证 和 授权 的 模块 


现在 有 一 个 新 的 认证 后 端 提供 者 方案 ， 可 以 简化 新 认证 后 端的 创建 。 
连接 错误 日 志 


添加 了 一 个 新 的 ap 1og cerror 画 数 用 于 记录 客户 端 连接 时 发 生 的 错误 。 并 且 在 记录 时 包含 客 
户 端 I|P 地 址 。 


添加 了 一 个 测 试 配 置 的 钩子 (hook) 


添加 了 一 个 新 的 test config 4S, ALA PR httpd 传递 -t 选项 时 ， 执 行 包含 特定 代 
码 的 模块 。 


置 线 程 型 MPM 所 使 用 的 栈 空间 大 小 


新 增 的 Threadstacksize 指令 可 以 用 来 限制 所 有 线程 型 MPM 所 使 用 的 栈 大 小 。 一 些 默认 栈 空 
间 较 小 的 平台 上 的 第 三 方 模块 需要 使 用 它 指定 栈 空间 的 大 小 。 

输出 过 滤器 协议 处 理 

过 去 ， 每 个 过 滤器 都 要 确保 自身 能 够 产生 正确 的 应 答 头 。 现 在 过 滤器 可 以 调 


用 ap register output filter protocol 或 ap filter protocol 来 委托 mod filter 进行 协议 管 
理 。 





添加 了 监视 钩子 (Monitor hook) 
监视 钩子 可 以 让 模块 运行 父 进程 中 事先 安排 好 的 工作 。 
正则 表达 式 API RET xb 


pcreposix.h 头 文件 现在 被 ap_regex.h 头 文件 取代 了 。 原 来 者 的 POSIX.2 regex.h 实现 现在 
位 于 ap_ 名 字 空 间 下 (由 ap_regex.h 提供 )。 比 如 原来 的 regcomp, regexec 调用 现在 要 修改 
成 ap_regcomp ，ap_regcomp 调用 。 


DBD 框 架 (SQL 数 据 库 API) 


在 1.x 和 2.0 版 本 中 ， 需 要 SQL 支持 的 模块 必须 自己 管理 数据 库 。 为 了 不 要 重新 发 明 轮 子 ， 
Apache 2.1 及 以 后 的 版 本 提供 了 ap dod API 来 管理 数据 库 连 接 (包括 对 线程 型 和 非 线 程 型 
MPM 进 行 优 化 )， 同 时 APR 1.2 及 以 后 版 本 也 提供 了 apr dba API 与 数据 库 打 交道 。 


新 模块 应 当 使 用 了 这 些 APl 来 进行 数据 库 操 作 。 现 存 的 应 用 程序 应 当 进 行 透明 的 升级 或 使 用 推 
荐 选项 来 使 用 这 些 APl。 





Apache 2.0 新 特性 概述 


此 文档 描述 了 Apache 1.3 和 2.0 版 本 之 间 的 主要 变化 。 


核心 的 增强 


Unix 线 程 


在 支持 POSIX 线 程 的 Unix 系 统 上 ， 现 在 Apache 能 在 混合 的 多 进程 、 多 线程 模式 下 运行 ， 使 很 
多 (但 非 全 部 ) 配 置 的 可 伸缩 性 得 到 了 改善 。 


新 的 编译 系统 


EE TARRA, 现在 是 基于 autoconf 和 libtool 的 ， 使 得 Apache 的 配置 系统 与 其 他 软件 包 
更 加 相似 。 


多 协议 支持 
Apache 现 在 已 经 拥有 了 能 够 支持 多 协议 的 底层 构造 。 mod echo 就 是 一 个 例子 。 
对 非 Unix 平 台 更 好 的 支持 


Apache2.0 在 诸如 BeOS、OS/2、Windows 等 非 Unix 平 台 上 有 了 更 好 的 速度 和 稳定 性 。 随 着 平 
台 特 定 的 多 路 处 理 模块 (MPM) 和 Apache 可 移植 运行 时 (APR) 的 引入 ，Apache 在 这 些 平台 上 的 
指令 由 它们 本 地 的 API 指 邻 实现。 避免 了 以 往 使 用 POSIX 模 拟 层 造成 的 bug 和 性 能 低下 。 


新 的 Apache API 
2.0 中 模块 的 API 有 了 重大 改变 。 很 多 1.3 中 模块 排序 和 模块 优先 级 的 问题 已 经 不 复 存 在 了 。2.0 


自动 处 理 了 很 多 这 样 的 问题 ， 模 块 排序 现在 用 per-hook 的 方法 进行 ， 从 而 拥有 了 更 多 的 灵活 
性 。 另 外 ， 增 加 了 新 的 调用 以 提高 模块 的 性 能 ， 而 无 需 修 改 Apache 服 务 器 核心 。 


IPv6 支持 


在 所 有 能 够 由 Apache 可 移植 运行 时 库 (APR library) 提 供 IPv6 支 持 的 系统 上 ，Apache 默 认 使 用 
IPv6 侦 听 套 接 字 。 另 外， Listen. NameVirtualHost, VirtualHost 指使 也 支持 IPv6 的 数字 
地 址 串 ( 比 如 : " Listen [2001:db8::1]:8080 ")o 


Apache 的 模块 现在 可 以 写成 过 滤器 的 形式 ， 当 内 容 流 经 它 进 入 服务 器 或 从 服务 器 流出 的 时 候 
进行 义理 。 比如 ， 可 以 用 mod include 中 的 INCLUDES 过 滤器 将 CGI 脚本 的 输出 解析 为 服务 器 
imate. M mod ext filter 人 允许 外 部 程序 充当 过 滤器 的 角色 ， 就 象 用 CGI 程序 做 义理 器 
一 样 。 


S BRS 

返回 给 浏览 器 的 错误 信息 现在 已 经 用 SSI 文 档 实 现 了 多 语种 化 。 管 理 员 可 以 利用 此 功能 进行 定 
制 以 达到 感 观 的 一 致 。 

简化 了 配置 


很 多 易 混 淆 的 配置 项 已 经 进行 了 简化 。 经 常 产 生 混淆 的 Port 和 BindAddress 配置 项 已 经 取消 
T ; 用 于 绑 定 IP 地 址 的 只 有 Listen 指令 ; ServerName 指令 中 指定 的 服务 器 名 和 端口 公用 于 重 
定向 和 虚拟 主机 的 识别 。 


本 地 Windows NT Unicode 支持 


Apache2.0 在 WindowsNT 上 的 文件 名 全 部 使 用 utf-8 编 码 。 这 个 操作 直接 转换 成 底层 的 Unicode 
文件 系统 ， 由 此 为 所 有 以 WindowsNT( 包 括 Windows2000/XP/2003) 为 基础 的 安装 提供 了 多 语 
言 支持 。 这 一 支持 目前 尚未 酒 盖 Wpoaows95/98ME 系 统 ， 因 为 它们 仍 使 用 机 器 本 地 的 代码 页 

进行 文件 系统 的 操作 。 

正则 表达 式 库 更 新 

Apache2.0 包 含 了 Perl 兼 容 的 正则 表达 式 库 (PCRE)。 所 有 正则 表达 式 现在 都 使 用 了 更 强大 的 

Perl 5 语法 。 


模块 的 增强 


mod ssl 


Apache2.0 中 的 新 模块 。 此 模块 是 OpenSSL 提 供 的 一 个 SSL/TLS 加 密 协 议 接 口 。 

mod dav 

Apache2.0 中 的 新 模块 。 此 模块 继承 了 HTTP 分 布 式 发 布 和 版 本 控制 规范 ， 用 于 发 布 和 维护 
web 内 容 。 

mod deflate 

Apache2.0 中 的 新 模块 。 此 模块 允许 支持 此 功能 的 浏览 器 请 求 的 页 面 内 容 在 发 送 前 进行 压缩 ， 
以 节省 网 络 带 宽 。 


mod auth ldap 


Apache2.0.41 中 的 新 模块 。 此 模块 允许 使 用 LDAP 数 据 库 存储 HTTP 基 本 认证 所 需 的 信息 。 随 
之 而 来 的 另 一 个 模块 mod_ldap 则 提供 了 连接 池 和 结果 的 缓冲 。 


mod_auth_digest 


利用 共享 内 存 实现 了 对 跨 进程 会 话 缓冲 的 额外 支持 。 


mod charset lite 


Apache2.0 中 的 新 模块 。 这 个 试验 模块 允许 在 不 同 的 字符 集 之 间 进 行 转换 和 重新 编码 。 
mod_file_cache 

Apache2.0 中 的 新 模块 。 这 个 模块 包含 了 Apache1.3 中 mod mmap static 模块 的 功能 ， 另 外 进 
一 步 增加 了 缓冲 能 力 。 

mod_headers 

此 模块 在 Apache2.0 中 更 具有 灵活 性 。 现 在 ， 它 可 以 更 改 mod proxy. 使 用 的 请 求 头 信息 ， 并 可 以 
有 条 件 地 设置 应 答 头 信息 。 

mod_proxy 

代理 模块 已 经 被 完全 重 写 以 充分 利用 新 的 过 滤器 结构 的 优势 ， 从 而 实现 一 个 更 为 可 靠 的 
HTTP/1.1 代 理 模块 。 另 外 ， 新 的 «Proxy» 配置 段 提供 了 更 具 可 读 性 (而 且 更 快 ) 的 代理 站 点 控 


fill ; Et, ÆR, «Directory "proxy:..."» 指令 的 方法 已 经 不 再 被 支持 了 。 这 个 模块 现在 依照 
协议 支持 分 为 proxy connect 、 proxy_ftp 、 proxy_http 三 个 部 分 。 


mod negotiation 
新 的 ForceLanguagePriority 指令 可 以 确保 在 所 有 情况 下 客户 端 都 收 到 一 个 单一 文档 ， 以 取代 


不 可 接受 或 多 选择 的 响应 。 另 外 ， 内 容 协 商 和 MultiViews 算 法 已 经 进行 了 优化 以 提供 更 完美 的 
结果 ， 并 提供 了 包括 文档 内 容 的 新 类 型 表 。 


mod autoindex 


经 过 自动 索引 后 的 目录 列表 现在 可 被 配置 为 使 用 HTML 表 格 从 而 使 格式 更 加 清晰 ， 而 且 人 允许 更 
为 细 化 的 排序 控制 ， 包 括 版 本 排序 和 通配符 过 滤 目 录 列 表 。 

mod include 

新 的 指 合集 允许 修改 默认 的 SSI 元 素 的 开始 和 结束 标签 ， 而 且 人 允许 以 主 配 置 文件 里 的 错误 提示 
和 时 间 格 式 的 配置 取代 SS|I 文 档 中 的 相应 部 分 。 正 则 表达 式 (现在 已 基于 Perl 的 正则 表达 式 语 
法 ) 的 解析 和 分 组 结果 可 以 用 mod_include 的 变量 go .. so 取得 。 


mod auth dbm 


现在 可 以 使 用 AutnpBMType 指令 支持 多 种 类 似 DBM 的 数据 库 。 


The Apache License, Version 2.0 


Apache License Version 2.0, January 2004 http://www.apache.org/licenses/ 


TERMS AND CONDITIONS FOR USE, REPRODUCTION, AND DISTRIBUTION 


1. 


Definitions 


"License" shall mean the terms and conditions for use, reproduction, and distribution as 
defined by Sections 1 through 9 of this document. 


"Licensor" shall mean the copyright owner or entity authorized by the copyright owner 
that is granting the License. 


"Legal Entity" shall mean the union of the acting entity and all other entities that control, 
are controlled by, or are under common control with that entity. For the purposes of this 
definition, "control" means (i) the power, direct or indirect, to cause the direction or 
management of such entity, whether by contract or otherwise, or (ii) ownership of fifty 
percent (5096) or more of the outstanding shares, or (iii) beneficial ownership of such 
entity. 


"You" (or "Your") shall mean an individual or Legal Entity exercising permissions granted 
by this License. 


"Source" form shall mean the preferred form for making modifications, including but not 
limited to software source code, documentation source, and configuration files. 


"Object" form shall mean any form resulting from mechanical transformation or 
translation of a Source form, including but not limited to compiled object code, 
generated documentation, and conversions to other media types. 


"Work" shall mean the work of authorship, whether in Source or Object form, made 
available under the License, as indicated by a copyright notice that is included in or 
attached to the work (an example is provided in the Appendix below). 


"Derivative Works" shall mean any work, whether in Source or Object form, that is 
based on (or derived from) the Work and for which the editorial revisions, annotations, 
elaborations, or other modifications represent, as a whole, an original work of 
authorship. For the purposes of this License, Derivative Works shall not include works 
that remain separable from, or merely link (or bind by name) to the interfaces of, the 
Work and Derivative Works thereof. 


"Contribution" shall mean any work of authorship, including the original version of the 
Work and any modifications or additions to that Work or Derivative Works thereof, that is 
intentionally submitted to Licensor for inclusion in the Work by the copyright owner or by 
an individual or Legal Entity authorized to submit on behalf of the copyright owner. For 
the purposes of this definition, "submitted" means any form of electronic, verbal, or 
written communication sent to the Licensor or its representatives, including but not 
limited to communication on electronic mailing lists, source code control systems, and 
issue tracking systems that are managed by, or on behalf of, the Licensor for the 
purpose of discussing and improving the Work, but excluding communication that is 
conspicuously marked or otherwise designated in writing by the copyright owner as "Not 
a Contribution." 


"Contributor" shall mean Licensor and any individual or Legal Entity on behalf of whom 
a Contribution has been received by Licensor and subsequently incorporated within the 
Work. 


. Grant of Copyright License. Subject to the terms and conditions of this License, each 
Contributor hereby grants to You a perpetual, worldwide, non-exclusive, no-charge, 
royalty-free, irrevocable copyright license to reproduce, prepare Derivative Works of, 
publicly display, publicly perform, sublicense, and distribute the Work and such 
Derivative Works in Source or Object form. 


. Grant of Patent License. Subject to the terms and conditions of this License, each 
Contributor hereby grants to You a perpetual, worldwide, non-exclusive, no-charge, 
royalty-free, irrevocable (except as stated in this section) patent license to make, have 
made, use, offer to sell, sell, import, and otherwise transfer the Work, where such 
license applies only to those patent claims licensable by such Contributor that are 
necessarily infringed by their Contribution(s) alone or by combination of their 
Contribution(s) with the Work to which such Contribution(s) was submitted. If You 
institute patent litigation against any entity (including a cross-claim or counterclaim in a 
lawsuit) alleging that the Work or a Contribution incorporated within the Work 
constitutes direct or contributory patent infringement, then any patent licenses granted 
to You under this License for that Work shall terminate as of the date such litigation is 
filed. 

. Redistribution. You may reproduce and distribute copies of the Work or Derivative 
Works thereof in any medium, with or without modifications, and in Source or Object 
form, provided that You meet the following conditions: 


i. You must give any other recipients of the Work or Derivative Works a copy of this 
License; and 

ii. You must cause any modified files to carry prominent notices stating that You 
changed the files; and 


iii. You must retain, in the Source form of any Derivative Works that You distribute, all 
copyright, patent, trademark, and attribution notices from the Source form of the 
Work, excluding those notices that do not pertain to any part of the Derivative 
Works; and 

iv. If the Work includes a "NOTICE" text file as part of its distribution, then any 
Derivative Works that You distribute must include a readable copy of the attribution 
notices contained within such NOTICE file, excluding those notices that do not 
pertain to any part of the Derivative Works, in at least one of the following places: 
within a NOTICE text file distributed as part of the Derivative Works; within the 
Source form or documentation, if provided along with the Derivative Works; or, 
within a display generated by the Derivative Works, if and wherever such third-party 
notices normally appear. The contents of the NOTICE file are for informational 
purposes only and do not modify the License. You may add Your own attribution 
notices within Derivative Works that You distribute, alongside or as an addendum to 
the NOTICE text from the Work, provided that such additional attribution notices 
cannot be construed as modifying the License. 

You may add Your own copyright statement to Your modifications and may provide 
additional or different license terms and conditions for use, reproduction, or distribution 
of Your modifications, or for any such Derivative Works as a whole, provided Your use, 
reproduction, and distribution of the Work otherwise complies with the conditions stated 
in this License. 


. Submission of Contributions. Unless You explicitly state otherwise, any Contribution 
intentionally submitted for inclusion in the Work by You to the Licensor shall be under 
the terms and conditions of this License, without any additional terms or conditions. 
Notwithstanding the above, nothing herein shall supersede or modify the terms of any 
separate license agreement you may have executed with Licensor regarding such 
Contributions. 


. Trademarks. This License does not grant permission to use the trade names, 
trademarks, service marks, or product names of the Licensor, except as required for 
reasonable and customary use in describing the origin of the Work and reproducing the 
content of the NOTICE file. 

. Disclaimer of Warranty. Unless required by applicable law or agreed to in writing, 
Licensor provides the Work (and each Contributor provides its Contributions) on an "AS 
IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express 
or implied, including, without limitation, any warranties or conditions of TITLE, NON- 
INFRINGEMENT, MERCHANTABILITY, or FITNESS FOR A PARTICULAR PURPOSE. 
You are solely responsible for determining the appropriateness of using or redistributing 
the Work and assume any risks associated with Your exercise of permissions under this 
License. 


8. Limitation of Liability. In no event and under no legal theory, whether in tort (including 
negligence), contract, or otherwise, unless required by applicable law (such as 
deliberate and grossly negligent acts) or agreed to in writing, shall any Contributor be 
liable to You for damages, including any direct, indirect, special, incidental, or 
consequential damages of any character arising as a result of this License or out of the 
use or inability to use the Work (including but not limited to damages for loss of 
goodwill, work stoppage, computer failure or malfunction, or any and all other 
commercial damages or losses), even if such Contributor has been advised of the 
possibility of such damages. 

9. Accepting Warranty or Additional Liability. While redistributing the Work or 
Derivative Works thereof, You may choose to offer, and charge a fee for, acceptance of 
support, warranty, indemnity, or other liability obligations and/or rights consistent with 
this License. However, in accepting such obligations, You may act only on Your own 
behalf and on Your sole responsibility, not on behalf of any other Contributor, and only if 
You agree to indemnify, defend, and hold each Contributor harmless for any liability 
incurred by, or claims asserted against, such Contributor by reason of your accepting 
any such warranty or additional liability. 


END OF TERMS AND CONDITIONS 
APPENDIX: How to apply the Apache License to your work. 


To apply the Apache License to your work, attach the following boilerplate notice, with the 
fields enclosed by brackets "[]" replaced with your own identifying information. (Don't include 
the brackets!) The text should be enclosed in the appropriate comment syntax for the file 
format. We also recommend that a file or class name and description of purpose be included 
on the same "printed page" as the copyright notice for easier identification within third-party 
archives. 


Copyright [yyyy] [name of copyright owner] 


Licensed under the Apache License, Version 2.0 (the "License"); 
you may not use this file except in compliance with the License. 
You may obtain a copy of the License at 


http://www.apache.org/licenses/LICENSE-2.0 


Unless required by applicable law or agreed to in writing, software 
distributed under the License is distributed on an "AS IS" BASIS, 
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 
See the License for the specific language governing permissions and 
limitations under the License. 


参考 手册 


编译 与 安装 


本 文 仅 阐述 Apache 在 Unix 和 类 Unix 系 统 中 的 编译 和 安装 ， 在 Windows 中 的 编译 和 安装 可 以 参 
考 在 Microsoft Windows 中 使 用 Apache。 其 他 平台 可 以 参见 针对 特定 平台 的 说 明文 档 。 
像 其 它 许多 开源 项 目 一 样 ， Apache 使 用 libtool 和 autoconf 建立 编译 环境 。 


如 果 你 只 进行 很 小 的 版 本 升级 (比如 2.2.54 一 2.2.55)， 请 直接 跳 转 到 下 面 的 升级 部 分 。 


针对 心急 者 的 概述 


下 载 $ lynx http://httpd.apache.org/download.cgi 

解压 $ gzip -d httpd- NN .tar.gz $ tar xvf httpd- NN .tar $ cd httpd- NN. 
配置 $ ./configure --prefix=_PREFIX_ 

编译 $ make 

安装 $ make install 

配置 $ vi PREFIX /conf/httpd.conf 

测试 $ PREFIX /bin/apachectl -k start 


其 中 NN 必须 用 当前 的 副 版 本 号 替代 ; PREF/X 是 服务 器 被 安装 到 文件 系统 中 的 路 径 名 ， 如 果 
没有 指定 PREF/X， 默 认 会 装 到 /usr/1ocal/apache2 


下 面 从 编译 和 安装 Apache httpd 的 要 求 开 始 详细 冰 述 编译 和 安装 的 每 个 步骤 。 


要 求 
编译 Apache 的 要 求 如 下 : 
磁盘 空间 


必须 保证 有 50MB 以 上 的 自由 临时 磁盘 空间 。Apache 安 装 完 半 后 会 占据 10MB 左 右 的 空间 ， 实 
际 的 磁盘 空间 需求 会 因 编译 设置 和 是 否 安装 第 三 方 模块 而 有 所 不 同 。 


ANSI-C 编 译 器 及 编译 环境 


必须 装 有 ANSI-C 编 译 器 ， 推 荐 使 用 自由 软件 基金 会 (FSF) 的 GCC。 如 果 没 有 GCC， 那 么 要 确 
保 使 用 的 编译 器 符合 ANSI 标 准 ， 而 且 PATH 中 必须 包含 指向 基本 编译 工具 比如 make 的 路 径 。 


确保 准确 的 时 间 


由 于 HTTP 协 议 的 元 素 都 会 用 到 时 间 ， 有 必要 了 解 一 下 你 的 系统 所 使 用 的 时 间 同 步 机 制 。 在 基 
于 网 络 时 间 协 议 (NTP) 的 系统 中 ， 一 般 是 用 ntpdate 或 xntpa 来 同步 时 间 。 有 关 NTP 软 件 的 资 
料 请 参见 NTP 主 页 。 


Perl 5 [可 选 ] 


有 些 用 Perl 写 的 支持 脚本 ， 如 apxs 或 dbmmanage ， 需 要 Perl5 解 释 器 (5.003 或 以 上 的 版 本 就 足 
够 了 )。 如 果 系统 中 存在 多 个 Perl 解 释 器 ， 比 如 有 系统 提供 的 Perl 4， 还 有 你 自己 安装 的 Perl 
5， 推 荐 你 使 用 --with-perl 选项 来 确保 configure 脚本 使 用 正确 的 版 本 。 如 果 configure 没 
有 没 找到 Perl 5 也 没关系 ， 这 并 不 影响 Apache httpd 的 编译 和 安装 ， 只 是 相关 的 支持 脚本 不 能 
使 用 而 已 。 


apr/apr-util >= 1.2 


apr 和 apr-util 包含 在 Apache httpd 的 发 行 源 代 码 中 ， 并 且 在 绝 大 多 数 情况 下 使 用 都 不 会 出 
现 问 题 。 当 然 ， 如 果 apr 或 apr-util 的 1.0 或 1.1 版 本 已 经 安装 在 你 的 系统 中 了 ， 则 必须 将 你 
的 apr / apr-util 升级 到 1.2 版 本 ， 或 者 将 httpd 单 独 分 开 编 译 。 要 使 用 发 行 源 代 码 中 自 带 

的 apr / apr-util 源 代码 进行 安装 ， 你 必须 手动 完成 : 


# 编译 和 安装 apr 1.2 

cd srclib/apr 

./configure --prefix-/usr/local/apr-httpd/ 
make 

make install 

# 编译 和 安装 apr-util 1.2 

cd ../apr-util 

./configure --prefix-/usr/local/apr-util-httpd/ --with-apr-/usr/local/apr-httpd/ 
make 

make install 

# 配置 httpd 

CCl m af 


./configure --with-apr=/usr/local/apr-httpd/ --with-apr-util-/usr/local/apr-util-httpd/ 
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Apachen] ELM Apache HTTP 服 务 器 下 载 站 点 及 其 镜像 站 点 下 载 。 大 多 数 类 UNIX 系 统 的 
Apache 用 户 最 好 的 选择 是 下 载 源 代码 并 编译 一 个 适合 自己 的 版 本 ， 这 个 过 程 (下 面 将 要 讲述 ) 
是 很 简单 的 ， 它 允许 你 根据 自己 的 需求 进行 定制 。 另 一 方面 编译 好 的 二 进 制 版 本 通常 没有 进 


行 及 时 的 更 新 。 如 果 你 下 载 的 是 编译 好 的 二 进 制版 本 ， 请 按照 其 中 的 INSTALL.bindist 文件 进 


ludi 


TI Zo 


下 载 完毕 后 ， 应 该 对 下 载 来 的 tar 包 作 PGP 答 名校 验 ， 以 确保 其 完整 而 且 未 被 自 改 过 。(PGP 下 
载 页 面 ) 


解压 
解压 Apache httpd 的 tar 包 很 简单 : 


$ gzip -d httpd- NN .tar.gz 


$ tar xvf httpd- NN .tar 


这 样 就 在 当前 目录 下 新 建 了 一 个 包含 发 行 版 源 代 码 的 目录 ， 必 须 cd 进入 这 个 目录 以 继续 服务 
器 的 编译 。 


配置 源 代 码 树 


这 一 步 是 根据 你 的 特定 平台 和 个 人 需求 配置 源 代码 树 。 位 于 发 行 源 代码 根 目录 
BY configure 脚本 会 完成 这 个 步骤 (对 下 载 Apache CVS 版 源 代码 的 开发 者 ， 需 要 装 
有 autoconf 和 libtool ， 并 需要 执行 buildconf ， 对 于 官方 的 发 行 版 则 没 这 个 必要 )。 


要 想 用 所 有 的 默认 值 配置 源 代码 树 只 要 简单 的 执行 ./configure 命令 就 可 以 了 ， 同 
时 configure 还 可 以 接受 命令 行 参数 以 改变 默认 值 。 


最 重要 的 选项 是 Apache 安 装 目 录 的 前 级 : --prefix ， 因 为 Apache 需 要 知道 这 个 目录 才能 正 
常 运作 。 更 多 的 微调 选项 请 参考 配置 选项 详解 。 


这 样 ， 你 就 可 以 通过 在 配置 选项 中 指定 要 局 用 或 禁用 哪些 模块 来 定制 Apache 的 特性 。Base 组 
的 模块 默认 包含 在 Apache 中 。 其 他 组 的 模块 可 以 通过 --enable-module 指令 启 用。 其 中 
module 是 模块 名 去 掉 ”mod_“" 并 将 下 划 线 转换 成 连 字符 后 的 字符 串 。 你 也 可 以 使 用 
--enable-module-shared 指使 将 模块 编译 为 可 在 运行 时 加 载 和 和 扼 载 的 动态 共享 对 象 (DSO)。 同 
样 的 ， 你 也 可 以 使 用 --disable-module 指令 茶 用 Base 组 的 模块 。 注 意 ， 使 用 这 些 指令 的 时 
候 configure 不 会 对 你 拼写 错误 的 模块 发 出 警告 说 找 不 到 某 某 模块 ， 而 只 是 简单 的 忽略 这 个 
选项 。 


BH, 有 时 候 还 必须 提供 给 configure 脚本 关于 编译 器 、 库 、 头 文件 位 置 的 更 多 信息 。 这 些 


可 以 通过 环境 变量 或 者 命令 行 选 项 传递 给 configure 脚本 。 要 了 解 更 多 信息 ， 请 参 
考 配置 源 代码 树 o 


为 了 让 你 对 能 指定 什么 有 一 个 简单 的 印象 ， 此 例 演 示 编 译 Apache ， 并 将 其 安装 
在 /sw/pkg/apache 目录 ， 指 定 了 一 个 特定 的 编译 器 以 及 编译 参数 ， 而 且 人 允许 今后 将 两 个 附加 
的 模块 mod rewrite 和 mod speling 通过 DSO 机 制 在 运行 时 动态 加 载 : 


$ CC-"pgcc" CFLAGS="-02" \ 
./configure --prefix=/sw/pkg/apache \ 
--enable-rewrite=shared \ 


--enable-speling=shared 


configure 需要 运行 几 分 钟 ， 以 测试 指定 的 功能 在 你 的 系统 中 是 否 有 效 ， 并 建立 稍 后 编译 时 
所 需 的 许多 Makefile 文 件 。 


运行 以 下 命令 你 就 可 以 编译 Apache 的 各 个 部 分 了 : 


$ make 


请 耐心 等 候 ， 因 为 对 一 个 基本 配置 的 编译 ， 需 要 运行 几 分 钟 左右 ， 实 际 需 要 的 时 间 会 因为 你 
的 硬件 和 选择 的 模块 数量 有 很 大 不 同 。 


mo J+ 
AL 
现在 可 以 在 PREF/X 目 录 ( 参 见 上 述 的 --prefix 参数 ) 下 安装 了 ， 执 行 : 


$ make install 


如 果 是 升级 ， 安 装 程序 不 会 履 盖 你 的 配置 文件 和 文档 。 


配备 
接着 ， 通 过 修改 _prerix_/conf/ 目录 下 的 配置 文件 ， 来 配置 Apache HTTP 服 务 器 。 


$ vi PREFIX /conf/httpd.conf 


docs/manual/ 下 有 Apache 使 用 手册 ，http://httpd.apache.org/docs/2.2/ 有 最 新 的 文档 ， 你 还 可 
以 查看 完整 的 指令 索引 。 


测试 
现在 ， 可 以 执行 下 述 命令 立即 启动 你 的 Apache HTTP 服 务 器 : 


$ PREFIX /bin/apachectl -k start 


你 应 该 可 以 用 http://localhost/ 来 请 求 你 的 第 一 个 网 页 了 ， 这 个 网 页 位 于 DocumentRoot 目录 
下 ， 通 常 是 PREFIX /htdocs/ 。 随 后 ， 可 以 这 样 停止 服务 器 : 


$ _PREFIX_/bin/apachectl -k stop 


升级 


升级 的 第 一 步 是 阅读 源 代码 目录 中 的 发 布 公 告 (release announcement) 和 chances 文件 以 寻找 
可 能 会 对 你 的 站 点 产生 影响 的 变化 。 如 果 主 板 本 号 的 变化 (例如 1.3 一 2.0 或 2.0 一 2.2) 表 明 编 译 

时 和 运行 时 的 配置 发 生 了 重大 变化 ， 需 要 手动 调整 ， 所 有 模块 也 需要 升级 以 兼容 新 版 本 的 模 

块 API 。 


小 幅度 的 版 本 升级 (例如 : 2.2.55 一 2.2.57) 很 容易 。 make install 的 过 程 不 会 改写 任何 已 经 存 
在 的 文档 、 日 志 、 配 置 文件 。 此 外 ， 开 发 者 也 会 尽量 兼容 上 一 版 本 的 configure 选项 、 运 行 
时 配置 、 模 块 API 。 大 多 数 情 况 下 ， 你 将 能 够 使 用 与 上 一 版 本 完全 相同 的 configure 命令 行 和 
运行 时 配置 ， 而 你 原来 的 所 有 模块 也 将 正常 工作 。 


如 果 你 保存 了 上 一 次 安装 后 build 子 目 录 中 的 config.nice 文件 ， 升 级 将 更 加 平滑 。 这 个 文 
件 精 确 地 保存 了 所 有 对 目录 树 进 行 配置 的 configure 命令 行 。 你 只 需要 将 config.nice 文件 复 
制 到 新 的 源 代 码 目录 树 的 根 文件 夹 并 进行 你 希望 的 修改 后 ， 然 后 运行 下 面 的 命令 即 可 完成 升 
级 : 


$ ./config.nice 

$ make 

$ make install 

$ PREFIX /bin/apachectl -k graceful-stop 


$ PREFIX /bin/apachectl -k start 


你 应 该 总 是 在 将 新 版 本 的 Apache 投 入 正式 运行 前 ， 对 这 个 新 版 本 进行 足够 的 、 针 对 你 的 实际 
运行 环境 的 测试 。 上 比如 ， 你 可 以 使 用 一 个 不 同 的 --prefix 设置 将 新 版 本 安装 在 一 个 不 同 的 
目录 ， 并 使 用 Listen 指令 在 一 个 不 同 的 端口 监听 。 经 过 一 段 时间 的 测试 以 发 现 可 能 存在 的 问 
题 ， 然 后 再 做 出 最 后 的 决定 。 


É s Apache 


f£ Windows NT/2000/XP/2003 操 作 系统 中 ，Apache 一 般 以 服务 方式 运行 ， 或 者 在 Windows 
95/98/ME 中 以 控制 台 程序 方式 运行 。 详 情 请 参见 以 服务 方式 运行 Apache 和 以 控制 台 程 序 方 式 
运行 Apache。 


在 Unix 操 作 系 统 中 ， httpd 程序 作为 一 个 守护 进程 运行 ， 在 后 台 不 断 处 理 请 求 。 本 文档 描述 
了 如 何 调用 httpd 。 


Apache 是 怎样 启动 的 


如 果 配 置 文件 中 Listen 定义 的 是 默认 的 80 端 口 (或 1024 以 下 )， 那 么 启动 Apache 将 需要 root 权 
限 以 将 它 绑 定 在 特权 端口 上 。 一 有 旦 服务 器 开始 启动 并 完成 了 一 些 诸如 打开 日 志文 件 之 类 的 准 
各 操作 ， 它 将 创建 很 多 子 进 程 来 完成 一 些 诸如 侦 听 和 回应 客户 端 请 求 的 工作 。 httpd 主 进程 
仍然 以 root 用 户 的 权限 运行 ， 而 它 的 子 进程 将 以 一 个 较 低 权限 的 用 户 运行 。 这 将 由 你 选择 的 多 
路 处 理 模 块 进行 控制 。 


调用 httpd 可 执行 文件 的 推荐 方法 是 使 用 apachecti 控制 脚本 。 此 脚本 设置 了 在 某 些 操作 系 
统 中 正常 运行 httpd 所 必需 的 环境 变量 ， 然 后 调用 httpd 二 进 制 文件 。 apachect1l 会 传递 命 
合 行 的 所 有 参数 ， 因此 所 有 用 于 httpd 的 选项 多 半 也 可 以 用 于 apachectl 。 你 可 以 直接 修 
改 apachectl 脚本 ， 改变 首部 的 HTTPD 变量 使 之 指向 httpd 可 执行 文件 的 正确 位 置 ， 也 可 以 
设置 任意 的 命令 行 参数 ， 使 之 总 是 有 效 。 


httpd 被 调用 后 第 一 件 要 做 的 事情 就 是 找到 并 读 取 配 置 文件 httpd.conf 。 此 文件 的 位 置 是 在 
编译 时 设 定 的 ， 但 也 可 以 象 下 面 这 样 在 运行 时 用 -f 选项 来 指定 : 


/usr/local/apache2/bin/apachectl -f /usr/local/apache2/conf/httpd.conf 


如 果 启 动 过 程 一 切 正常 ， 服 务 器 将 与 终端 分 离 并 几乎 立即 出 现 命 合 行 提示 符 。 这 表示 服务 器 
已 经 启动 并 开始 运行 。 然 后 你 就 可 以 用 你 的 浏览 器 去 连接 你 的 服务 器 来 查看 DocumentRoot H 
录 下 的 测试 文档 及 其 页 面 链接 里 的 其 它 文 档 的 本 地 副本 。 


启动 时 发 生 错 误 


如 果 Apache 在 启动 过 程 中 发 生 了 致命 错误 ， 它 将 在 退出 前 把 描述 这 个 错误 的 信息 显示 在 终端 


ERAS A BI ErrorLog rh, 一 个 最 常 产 生 的 错误 信息 是 " Unable to bind to Port ... E 这 主 
要 由 以 下 原因 造成 : 


e 想 由 一 个 特权 端口 启动 服务 但 没有 以 root 用 户 运行 
e 启动 服务 时 已 经 有 另外 的 Apache 实 例 在 运行 或 其 他 的 web 服 务 器 已 经 绑 定 了 同样 的 端口 


更 多 问题 的 解决 办 法 ， 请 参见 常见 问题 。 


随 系 统 启 动 时 启 


如 果 你 希望 你 的 服务 器 在 系统 重启 后 仍 保持 运行 状态 。 你 应 该 把 apachect1 的 调用 加 入 到 你 
的 系统 启动 文件 中 (通常 为 rc.1local 文件 或 rc. 目录 下 的 某 一 文件 )。 这 将 会 以 root 权 限 启 动 
Apache。 当 然 ， 在 此 之 前 ， 你 必须 保证 你 的 服务 器 已 经 完成 了 安全 和 访问 权限 的 设 定 。 


apachectl 脚本 被 设计 为 可 以 用 作 SysV 初 始 化 脚本 ， 它 接受 start, restart, stop 2 
数 ， 并 把 它们 翻译 为 httpd 对 应 的 信号 ， 所 以 通常 都 可 以 将 apachectl 连接 到 适当 的 初始 目 
录 ， 但 是 需要 检查 你 的 系统 对 此 的 精确 要 求 。 


额外 信息 


关于 httpd 和 apachecti 以 及 其 他 相关 支持 程序 的 命 合 行 选项 的 详细 信息 请 参见 服务 器 和 支 
持 程 序 页 面 。 其 中 还 包括 所 有 的 随 Apache 发 行 包 发 布 的 模块 和 它们 提供 的 指 合 的 文档 。 


(FICE B 


本 文档 叙述 了 在 类 Unix 系 统 上 如 何 停止 和 重启 Apache 。 Windows NT/2000/XP/200385] FH > 
请 参见 以 服务 方式 运行 Apache ，Windows 9x/ME 用 户 则 参见 在 控制 台中 运行 Apache © 
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为 了 停止 或 者 重新 启动 Apache ， 你 必须 向 正在 运行 的 httpd 进程 发 送信 号 。 有 两 种 发 送信 号 
的 方法 。 第 一 种 方法 是 直接 使 用 UNIX 的 kill 命令 向 运行 中 的 进程 发 送信 号 。 你 也 许 你 会 注 

意 到 你 的 系统 里 运行 着 很 多 httpd 进程 。 但 你 不 应 该 直接 对 它们 中 的 任何 一 个 发 送信 号 ， 而 

只 要 对 已 经 在 PidFile 中 记载 下 了 自身 PID 的 父 进程 发 送信 号 。 也 就 是 说 ， 你 不 必 对 父 进 程 以 
外 的 任何 进程 发 送信 号 。 你 可 以 向 父 进程 发 送 三 种 信号 : TERM. HUP. USR1 ， 我 们 过 一 会 
儿 再 进行 详细 的 说 明 。 


你 可 以 用 下 面 这 样 的 命令 来 向 父 进程 发 送信 号 : 
kill -TERM ‘cat /usr/local/apache2/logs/httpd.pid' 
第 二 种 方法 是 使 用 下 面 将 要 描述 的 httpd 二 进 制 可 执行 文件 的 -k MDTA 


项 : stop. restart, graceful. graceful-stop 。 不 过 我 们 推荐 你 使 用 apachecti 控制 
脚本 来 向 httpd 二 进 制 可 执行 文件 传递 这 些 选项 。 


当 你 向 httpd 发 送信 号 后 ， 你 可 以 这 样 来 读 取 它 的 进行 过 程 : 


tail -f /usr/local/apache2/1logs/error log 


你 可 以 修改 这 些 示例 以 适应 你 的 serverRoot 和 PidFile 设置 。 


立即 停止 
信号 : TERM 
apachectl -k stop 


发 送 TERM 或 stop 信号 到 父 进程 可 以 使 它 立 刻 杀 死 所 有 子 进程 。 这 将 花费 一 些 时 间 来 杀 死 所 
有 子 进 程 。 然 后 父 进程 自己 也 退出 。 所 有 进行 中 的 请 求 将 被 强行 中 止 ， 而 且 不 再 接受 其 它 请 


优雅 重启 


信号 : USR1 
apachectl -k graceful 


USR1 或 graceful 信号 使 得 父 进程 建议 子 进程 在 完成 它们 现在 的 请 求 后 退出 (如 果 他 们 没有 进 
行 服务 ， 将 会 立刻 退出 )。 父 进程 重新 读 人 配置 文件 并 重新 打开 日 志文 件 。 每 当 一 个 子 进 程 死 
掉 ， 父 进程 立刻 用 新 的 配置 文件 产生 一 个 新 的 子 进 程 并 立刻 开始 伺服 新 的 请 求 。 


重 牛人 代码 的 设计 能 够 确保 MPM 进 程控 制 指令 的 正常 运作 ， 也 就 是 在 重启 过 程 中 确保 有 适当 数 
量 的 进程 和 线程 以 响应 客户 端的 请 求 。 它 是 这 样 StartServers 的 : 如 果 在 一 秒 钟 以 后 还 没有 
新 创建 startservers 个 子 进程 ， 则 创建 出 足够 完成 现在 任务 的 子 进 程 个 数 。 因 此 ， 代 码 除了 
保有 能 够 维持 服务 器 的 现 有 负载 数量 的 子 进 程 外 ， 也 确保 startservers 按 你 的 意愿 运作 。 


使 用 mod status 的 用 户 会 注意 到 在 usR1 信号 发 出 后 ， 服 务 器 的 统计 信息 没有 被 清 需 。 代 码 
被 写成 既 能 将 你 服务 器 无 法 伺服 新 请 求 的 时 间 降 至 最 少 ( 这 些 请 求 将 被 操作 系统 放 到 队列 里 ， 
使 得 它们 不 会 丢失 )， 又 能 遵从 你 的 参数 优化 。 为 了 做 到 这 一 点 ， 它 将 在 重新 生成 子 进 程 的 过 
程 中 ， 在 scoreboard 上 保存 所 有 子 进程 的 状态 。 


mod status 还 会 将 那 些 在 优雅 重启 前 就 已 经 开始 而 没有 结束 伺服 请 求 的 子 进程 用 一 个 " 6 "来 


目前 ， 日 志 滚动 脚本 还 无 法 使 用 usR1 来 确定 所 有 写 入 预 重启 日 志 的 子 进程 都 已 结束 。 我 们 建 
议 你 在 发 出 了 usR1 信号 后 等 待 一 个 适当 的 时 间 ， 然 后 再 对 旧 的 日 志 做 处 理 。 上 比如 说 如 果 对 于 
一 个 窄带 用 户 来 说 ， 大 部 分 的 点 击 处 理 将 在 10 分 钟 之 内 完成 ， 那 么 你 应 该 在 处 理 旧 的 日 志 前 
等 待 15 分 钟 。 


如 果 Apache 重 启 时 发 现 配置 文件 有 误 ， 那 么 父 进程 将 不 会 重启 ， 而 是 报错 并 退出 。 在 优雅 重 
启 的 情况 下 ， 它 将 在 处 理 中 的 子 进 程 存在 的 情况 下 维持 它 的 存在 (就 是 那些 被 要 求 在 处 理 完 它 
们 的 请 求 后 "优雅 退出 "的 子 进 程 )。 如 果 你 要 重启 服务 器 ， 这 将 导致 一 些 问题 : 它 将 不 能 绑 定 
到 它 的 监听 端口 。 在 执行 重启 之 前 ， 你 可 以 用 -t 命令 行 参数 来 检查 配置 文件 语法 的 正确 性 
(参见 httpd )。 但 这 仍然 不 能 保证 服务 器 一 定 可 以 正确 的 重启 。 为 了 从 语法 和 语义 两 方面 检查 
配置 文件 ， 你 可 以 用 一 个 非 root 用 户 来 启动 httpd 。 如 果 没 有 错误 ， 它 将 尝试 去 打开 套 接 字 和 
日 志文 件 ， 继 而 因 没 有 root 权 限 而 失败 (或 是 因为 现在 运行 的 httpd CARES RATA) WM 
果 是 因为 其 他 原因 那么 就 可 能 是 一 个 配置 文件 产生 的 错误 ， 你 就 应 当 在 进行 优雅 重 筷 之 前 改 
正 这 个 错误 。 


立即 重启 


信号 : HUP 
apachectl -k restart 
向 父 进程 发 送 Hup EX restart 信号 会 使 它 象 收 到 TERM 信号 一 样 杀 掉 所 有 的 子 进 程 ， 不 同 之 


处 在 于 父 进程 本 身 并 不 退出 。 它 重新 污 入 配置 文件 、 重 新 打开 日 志文 件 。 然 后 产生 一 系列 新 
的 子 进程 来 继续 服务 。 


使 用 mod status 的 用 户 会 注意 到 在 hup 信号 发 出 后 ， 服 务 器 统计 信息 会 被 清 需 。 


如 果 你 重启 时 配置 文件 有 误 ， 那 么 父 进 程 将 不 会 重启 ， 而 是 报错 并 退出 。 参 见 上 文中 避免 的 
方法 。 


优雅 停止 
信号 : WINCH 
apachectl -k graceful-stop 


WINCH EX graceful-stop 信号 使 得 父 进 程 建议 子 进程 在 完成 它们 现在 的 请 求 后 退出 (如 果 他 们 
没有 进行 服务 ， 将 会 立刻 退出 )。 然 后 父 进程 删除 PidFile 并 停止 在 所 有 端口 上 的 监听 。 父 进 
程 仍然 继续 运行 并 监视 正在 处 理 请求 的 子 进 程 ， 一 旦 所 有 子 进程 完成 任务 并 退出 或 者 超过 
由 GracefulshutdownTimeout 指令 规定 的 时 间 ， 父 进程 将 会 退出 。 在 超时 的 情况 下 ， 所 有 子 进 
程 都 将 接收 到 TERM 信号 并 被 强制 退出 。 


在 "优雅 "状态 下 ， TERM 信号 将 会 立即 中 止 父 进 程 和 所 有 子 进 程 。 由 于 Pidrile 已 经 被 删除 ， 
你 将 无 法 使 用 apachectl 或 httpd 发 送 该 信号 。 


gracefu1-stop 人 允许 你 同时 运行 多 个 相同 配置 的 [httpd](#calibre_1Link-54) 实 例 。 这 在 对 Apache 进 行 平滑 升级 的 
必须 注意 确保 诸如 `Lockfile “和 `ScriptSock ` 之 类 的 磁盘 文件 包含 服务 器 的 PID ， 并 且 能 够 安全 的 共存 。 然 而 如 果 一 
你 还 必须 防止 潜在 的 竞争 条 件 ， 上 比如 使 用 `rotatelogs ` 风格 的 管道 日 志 。 运 行 中 的 多 个 `rotatelogs 实例 企图 同时 滚 


二 F 


附录 : 信号 和 竞争 条 件 


在 Apache 1.2b9 之 前 ， 有 很 多 关于 重启 和 死亡 信号 的 竞争 条 件 。 关 于 竞争 条 件 的 一 个 简单 描 
述 是 : 一 个 时 间 敏感 的 问题 ， 如 果 一 些 事情 在 不 适当 的 时 间或 以 不 恰当 的 顺序 发 生 ， 它 将 作 
出 你 不 期 望 的 反应 ; 如 果 同 样 的 事情 在 恰当 的 时 间 发 生 ， 则 不 会 出 现 异常 。 凭 借 那些 拥有 " 正 
确 " 特 性 设置 的 体系 结构 ， 我 们 尽量 避免 了 它们 的 出 现 。 但 值得 注意 的 是 ， 仍 然 有 一 些 竞争 条 
件 存在 于 这 样 的 体系 结构 中 。 





使 用 物理 磁盘 的 scoreBoardFile 就 有 损坏 ScoreBoard 的 潜在 危险 。 这 将 发 生 在 "bind: Address 
already in use"( nue 之 后 ) 或 "long lost child came home!"( usri 之 后 ) 时 。 前 者 是 一 个 致命 错 
误 ， 而 后 者 则 会 使 服务 器 丢失 ScoreBoard 的 一 个 记录 。 所 以 我 们 建议 多 使 用 优雅 重启 ， 偶 尔 
使 用 硬 重启 。 这 些 问题 很 难 解决 ， 但 幸运 的 是 大 多 数 结构 并 不 需要 ScoreBoard 文 件 。 而 如 果 
你 需要 这 样 的 结构 ， 你 可 以 参考 scoreBoardFile 文档 。 


当 每 个 子 进程 在 一 个 HTTP 的 持续 连接 (KeepAlive) 中 涉及 到 第 二 个 并 发 的 请 求 时 ， 所 有 的 结构 
都 会 或 多 或 少 存在 竞争 状态 的 问题 。 它 将 在 读 取 了 请 求 而 没有 读 取 任何 请 求 头 之 后 立刻 退 
出 。 这 个 修复 对 于 1.2 来 说 来 得 太 晚 了 。 但 因为 持续 连接 的 客户 端 已 经 考虑 到 网 络 延 时 和 服务 


器 超时 会 造成 类 似 的 情况 ， 所 以 理论 上 说 ， 这 不 是 一 个 太 大 的 问题 。 而 实际 上 似乎 也 没有 任 
可 影响 : 在 一 个 测试 案例 中 服务 器 在 一 秒 之 内 被 重启 了 20 次 ， 而 客户 端 却 成 功 的 浏览 了 网 
站 ， 而 且 没 有 任何 破损 的 图 片 或 空 文档 。 


Ex 


本 页 阐述 了 Apache 服 务 器 的 配置 文件 。 


主 配置 文件 


相关 模块 
* mod_mime 
相关 指令 


@ <IfDefine> 
@ Include 


*  TypesConfig 


Apache 的 配置 文件 是 包含 若干 指 今 的 纯 文 本 文件 。 主 配置 文件 通常 叫 httpd.conf ， 其 位 置 
是 编译 时 确定 的 ， 但 可 以 用 命令 行 参数 -f 来 改变 。 另 外 ， 还 可 以 用 include 指令 和 通配符 
附加 许多 其 他 配置 文件 。 任 何 配置 文件 都 可 以 使 用 任何 指令 。 只 有 在 启动 或 重新 启动 Apache 
后 ， 主 配置 文件 的 更 改 才 会 生效 。 


服务 器 还 会 读 取 一 个 包含 MIME 文 件 类 型 的 文件 ， 其 文件 名 由 Typesconfig FETA, Mia 


i=) ü 
«E mime.types o 


置 文件 的 语法 


Apache 配 置 文件 的 每 一 行 包 含 一 个 指令 ， 在 行 尾 使 用 反 斜 枉 \" 可 以 表示 续 行 ， 但 是 反 斜 杠 和 与 
下 一 行 之 间 不 能 有 任何 其 他 字符 (包括 空白 字符 )。 


配置 文件 中 的 指令 是 不 区 分 大 小 写 的 ， 但 是 指令 的 参数 (argument) 通 常 是 大 小 写 敏 感 的 。 
以 " 太 开 头 的 行 被 视 为 注解 并 被 忽略 。 注 解 不 能 出 现在 指 邻 的 后 边 。 空 白 行 和 指 今 前 的 空白 字 
符 将 被 忽略 ， 因 此 可 以 采用 缩 进 以 保持 配置 层次 的 清晰 。 


可 以 用 apachectl configtest 或 者 命令 行 选 先 项 -t 检查 配置 文件 中 的 错 错误 ， 而 无 须 启动 
Apache 服 务 器 。 


模块 


相关 模块 


* mod so 


相关 指 今 


© <IfModule> 


@ LoadModule 


Apache 是 模块 化 的 服务 器 ， 这 意味 着 核心 中 只 包含 实现 最 基本 功能 的 模块 。 扩 展 功 能 可 以 作 
为 模块 动态 加 载 。 默 认 情况 下 ， 只 有 base 组 的 模块 被 编译 进 了 服务 器 。 如 果 服 务 器 在 编译 时 
包含 了 DSO 模 块 ， 那 么 各 模块 可 以 独立 编译 ， 并 可 随时 用 LoadModule 指令 加 载 ; AN, Be 
加 或 删除 模块 必须 重新 编译 整个 Apache。 用 于 特定 模块 的 指令 可 以 用 <IfModule> 指使 包含 起 
来 ， 使 之 有 条 件 地 生效 。 


用 命令 行 参数 -1 可 以 查看 已 经 编译 到 服务 器 中 的 模块 。 


指令 的 作用 域 


相关 模块 


@ <Directory> 

* <DirectoryMatch> 
e <Files> 

e <FilesMatch> 

* «Location» 

èe  «LocationMatch» 


* <VirtualHost> 
相关 指令 
主 配置 文件 中 的 指 倒 对 整个 服务 器 都 有 效 。 如 果 你 只 想 改变 某 一 部 分 的 配置 ， 你 可 以 把 指令 
BRA 
到 «Directory» 、  «DirectoryMatch» 、 «Files» 、  «FilesMatch» 、 «Location» 、 <LocationMai 
配置 段 中 ， 这 样 就 可 以 限制 指令 的 作用 域 为 文件 系统 中 的 某 些 位 置 或 特定 的 URL。 这 些 配置 
段 还 可 以 进行 戏 套 ， 以 进行 更 精细 的 配置 。 


Apache 还 具备 同时 支持 多 个 站 点 的 能 力 ， 称 为 虚拟 主机 。 <virtualHost> 配置 段 中 的 指 倒 仅 
对 该 段 中 的 特定 站 点 (虚拟 主机 ) 有 效 。 


虽然 大 多 数 指 倒 可 以 包含 在 任意 的 配置 段 中 ， 但 是 某 些 指使 仅 在 某 些 特定 的 范围 内 二 有 意 
义 。 比 如 ， 控 制 进 程 建立 的 指令 仅 在 主 服务 器 范围 内 有 效 。 要 查询 一 个 指令 可 以 被 应 用 于 哪 
些 配置 段 中 ， 可 以 查看 该 指令 的 作用 域 项 。 更 详细 资料 可 以 查看 配置 段 说 明 。 


.htaccess 文件 


相关 模块 


*  AccessFileName 


@ AllowOverride 
相关 指令 


Apache 可 以 使 用 分 布 在 整个 网 站 文件 目录 树 结构 中 的 特殊 文件 来 进行 分 散 配 置 ， 这 些 特 殊 的 
文件 通常 叫 .htaccess , 但 是 也 可 以 用 AccessFileName 指令 来 改变 它 的 名 字 。 .htaccess x 
件 中 指令 的 作用 域 是 存放 它 的 那个 目录 及 其 所 有 子 目 录 。 .htaccess 文件 的 语法 与 主 配 置 文 
件 相 同 。 由 于 对 每 次 请 求 都 会 读 取 .htaccess 文件 ， 所 以 对 这 些 文件 的 修改 会 立即 生效 。 


要 了 解 一 个 指令 是 否 可 以 用 在 .htaccess 文件 中 ， 可 以 查阅 该 指令 的 作用 域 项 。 服 务 器 管理 
员 可 以 在 主 配置 文件 中 使 用 AllowOverride 旨 今 来 决定 哪些 指令 可 以 在 .htaccess 文件 中 生 
效 。 


有 关 .htaccess 文件 更 详细 的 资料 ， 可 以 查看 .htaccess 指南 。 
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配置 文件 中 指令 的 作用 范围 可 能 是 整个 服务 器 ， 也 可 能 是 特定 的 目录 、 文 件 、 主 机 、URL。 
本 文 前 述 如 何 使 用 配置 段 (容器 ) 以 及 .htaccess 文件 来 改变 配置 指令 的 作用 范围 。 


Acie Fe( Aas) ay XE REI 
相关 模块 


* core 
* mod version 


* mod proxy 
WAT 


èe «Directory» 

e <DirectoryMatch> 
e <Files> 

e <FilesMatch> 

e <IfDefine> 

@  «IfModule» 

e <IfVersion> 

* «Location» 

èe  «LocationMatch» 
e «Proxy» 

*  «ProxyMatch» 


@  «VirtualHost» 


容器 有 两 种 基本 类 型 。 大 多 数 容器 是 针对 各 个 请 求 的 ， 包 含 于 其 中 的 指令 仅 对 与 该 容器 匹配 
的 请 求 起 作用 ， 而 容器 <IfDefine> 、 <IfModule> 、 <IfVersion> 仅 在 启动 和 重新 启动 中 起 作 
用 ， 如 果 在 启动 时 指定 的 条 件 成 立 ， 则 其 中 的 指令 对 所 有 的 请 求 都 有 效 ， 否 则 将 被 忽略 。 
<IfDefine> 容器 中 的 指令 只 有 在 httpd 命令 行 中 设 定 了 特定 的 参数 后 寺 有 效 。 下 例 中 ， 只 有 
在 服务 器 用 httpd -pclosedForNow 方式 启动 时 ， 所 有 的 请 求 才 会 被 重 定向 到 另 一 个 站 点 : 


<IfDefine ClosedForNow> 
Redirect / http://otherserver.example.com/ 


</IfDefine> 


<IfModule> 容器 很 相似 ， 但 是 其 中 的 指 倒 只 有 当 服 务 器 启用 特定 的 模块 时 才 有 效 ( 或 是 被 静态 
地 编译 进 了 服务 器 ， 或 是 被 动态 装载 进 了 服务 器 )， 注 意 ， 配 置 文件 中 该 模块 的 装载 指 

43 LoadModule 行 必须 在 出 现在 此 容器 之 前 。 这 个 容器 应 该 仅 用 于 你 希望 无 论 特定 模块 是 否 安 
装 ， 配 置 文件 都 能 正常 运转 的 场合 ; 而 不 应 该 用 于 容器 中 的 指 今 在 任何 情况 下 都 必须 生效 的 

场合 ， 因 为 它 会 抑制 类 似 模 块 没 找到 之 类 的 有 用 出 错 信息 。 


下 例 中 ， MimeMagicFiles 指令 仅 当 mod mime magic 模块 启用 时 才 有 效 。 


«IfModule mod mime magic.c» 
MimeMagicFile conf/magic 


«/IfModule» 


«IfVersion» 183-8 <IfDefine> 和 «rfModule» 很 相似 ， 但 是 其 中 的 指令 只 有 当 正 在 执行 的 服 
务 器 版 本 与 指定 的 版 本 要 求 相 符 时 才 有 效 。 这 个 模块 被 设计 用 于 测试 套件 、 以 及 在 一 个 存在 
多 个 不 同 httpd 版 本 的 大 型 网 络 中 需要 分 别针 对 不 同 版 本 使 用 不 同 配 置 的 情况 。 


<IfVersion >= 2.1> 


# 仅 在 版 本 高 于 2.1.0 的 时 候 才 生效 


</IfVersion> 


«IfDefine» 、 <IfModule> 、  «IfVersion» 都 可 以 在 条 件 前 加 一 个 "W" 以 实现 条 件 的 否定 ， 而 且 
都 可 以 褒 套 以 实现 更 复杂 的 配置 。 


文件 系统 和 网 络 空间 


最 常用 的 配置 段 是 针对 文件 系统 和 网 络 空间 特定 位 置 的 配置 段 。 首 先 必 须 理解 文件 系统 和 网 
络 空间 这 两 个 概念 的 区 别 ， 文 件 系 统 是 指 操作 系统 所 看 见 的 磁盘 视图 ， 比 如 ， 在 Unix 文 件 系 
统 中 ，Apache 会 被 默认 安装 到 /usr/local/apache2 ， 在 Windows 文 件 系统 中 ，Apache 会 被 
默认 安装 到 "c:/Program Files/Apache Group/Apache2" (注意 : Apache 始 终 用 正 斜 杠 而 不 是 反 
斜 杠 作为 路 径 的 分 隔 符 ， 即 使 是 在 Windows 中 )。 相 反 ， 网 络 空间 是 网 站 被 Web 服务 器 发 送 以 
及 被 客户 在 浏览 器 中 所 看 到 的 视图 。 所 以 网 络 空 间 中 的 路 径 /dir/ 在 Apache 采 用 默认 安装 路 
径 的 情况 下 对 应 于 Unix 文 件 系统 中 的 路 径 ;usr/local/apache2/htdocs/dir/ 。 由 于 网 页 可 以 从 
数据 库 或 其 他 地 方 动态 生成 ， 因 此 ， 网 络 空 间 无 须 直 接 映 射 到 文件 系统 。 


文件 系统 容器 


«Directory» 和 «Files» 指 今 与 其 相应 的 正则 表达 式 版 本 ( <DirectoryMatch> 和 <FilesMatch> ) 
一 起 作用 于 文件 系统 的 特定 部 分 。 <pirectory> 配置 段 中 的 指令 作用 于 指定 的 文件 系统 目录 及 
其 所 有 子 目 录 ，.htaccess 文 件 可 以 达到 同样 的 效果 。 下 例 中 ， /var/web/dira 及 其 所 有 子 目 
录 被 允许 进行 目录 索引 。 


«Directory /var/web/diri» 
Options +Indexes 


«/Directory» 


«Files» 配置 段 中 的 指令 作用 于 特定 的 文件 名 ， 而 无 论 这 个 文件 实际 存在 于 哪个 目录 。 下 例 
中 的 配置 指令 如 果 出 现在 配置 文件 的 主 服务 器 段 ， 则 会 拒绝 对 位 于 任何 目录 下 
的 private.html 的 访问 。 


«Files private.html» 
Order allow, deny 
Deny from all 


«/Files» 


«Files» 和 «Directory» 段 的 组 合 可 以 作用 于 文件 系统 中 的 特定 文件 。 下 例 中 的 配置 会 拒绝 对 
/var/web/diri/private.html 、  /var/web/diri/subdir2/private.html 

.  /var/web/diri/subdir3/private.html 等 任何 /var/web/diri/ 目录 下 private.html 的 访 
问 。 


«Directory /var/web/diri» 
«Files private.html» 
Order allow,deny 

Deny from all 

«/Files» 


«/Directory» 


网 络 空间 容器 


«Location» 指 今 与 其 相应 的 正则 表达 式 版 本 ( <LocationMatch> ) 一 起 作用 于 网 络 空间 的 特定 癌 
分 。 下 例 中 的 配置 会 拒绝 对 任何 以 " /private "开头 的 URL 路 径 的 访问 ， 比 
如 : http://yoursite.example.com/private 、  http://yoursite.example.com/private123 、 http: 


等 所 有 以 " /private "开头 的 URL 路 径 。 


«Location /private» 
Order Allow,Deny 
Deny from all 


«/Location» 


«Location» 指 今 与 文件 系统 无 关 ， 下 例 演 示 了 如 何 将 特定 的 URL 了 映射 到 Apache 内 部 的 义理 
器 mod status ， 而 并 不 要 求 文件 系统 中 确实 存在 server-status 文件 。 


«Location /server-status» 
SetHandler server-status 


«/Location» 


通配符 和 正则 表达 陈 


«Directory» 、 «Files» 、 «Location» 指使 可 以 使 用 与 C 标 准 库 中 的 fnmatch 类 似 的 shell 风 
格 的 通配符 。"[ 匹 配 任 何 字 符 串 ，"?" 匹 配 任 何 单个 的 字符 ，"[seq9]" 匹 配 sSeq 序 列 中 的 任何 字 
符 ， 符 号 "/" 不 被 任何 通配符 所 匹配 ， 所 以 必须 显 式 地 使 用 。 


如 果 需 要 更 复杂 的 匹配 ， 这 些 容 器 都 有 一 个 对 应 的 正则 版 

本 : «DirectoryMatch» 、 <FilesMatch> 、 <LocationMatch> , 可 以 使 用 与 Perl 兼 容 的 正则 表 
达 式 ， 以 提供 更 复 条 的 匹配 。 但 是 还 必须 注意 下 面 配置 段 的 合并 部 分 关于 使 用 正则 表达 式 会 
如 何 作 用 于 配置 指令 的 内 容 。 


下 例 使 用 非 正 则 表达 式 的 通配符 来 改变 所 有 用 户 目录 的 配置 : 


<Directory /home/*/public_html> 
Options Indexes 


</Directory> 


下 例 使 用 正则 表达 式 一 次 性 拒绝 对 多 种 图 形 文件 的 访问 : 


«FilesMatch N.(?i:gif|jpe?g|png)$» 
Order allow,deny 
Deny from all 


«/FilesMatch» 


什么 情况 下 用 什么 


选择 使 用 文件 系统 容器 还 是 使 用 网 络 空间 容器 其 实 很 简单 。 当 指令 应 该 作用 于 文件 系统 时 ， 
总 是 用 «Directory» 或 «Files» ; 而 当 指 合作 用 于 不 存在 于 文件 系统 的 对 象 时 ， 就 
用 <Location> ， 上 比如 一 个 由 数据 库 生 成 的 网 页 。 


绝对 不 要 试图 用 <Location> 去 限制 对 文件 系统 中 的 对 象 的 访问 ， 因 为 许多 不 同 的 网 络 空间 路 


2X. 


径 可 能 会 映射 到 同一 个 文件 系统 目录 ， 从 而 导致 你 的 访问 限制 被 突破 。 上 比如 : 


«Location /dir/» 
Order allow,deny 
Deny from all 


«/Location» 


上 述 配置 对 http://yoursite.example.com/dir/ 请 求 的 确 起 作用 。 但 是 设想 在 一 个 不 区 分 大 小 
写 的 文件 系统 中 ， 这 个 访问 限制 会 被 http://yoursite.example.com/DIR/ 请 求 轻易 突破 。 

而 <Directory> 指 合 才 会 真正 作用 于 对 这 个 位 置 的 任何 形式 的 请 求 。 但 是 有 一 个 例外 ， 就 是 

Unix 文 件 系统 中 的 符号 连接 ( 软 连接 )， 符 号 连接 可 以 使 同一 个 目录 出 现在 文件 系统 中 的 多 个 位 
iB. «Directory» 指 倒 将 不 重 设 路 笃 名 而 直接 追踪 符号 连接 ， 因 此 ， 对 于 安全 要 求 最 高 的 ， 应 
该 用 options 指令 禁 止 对 符号 连接 的 追踪 。 

不 要 认为 使 用 大 小 写 敏 感 的 文件 系统 就 无 所 谓 了 ， 因 为 有 很 多 方法 可 以 将 不 同 的 网 络 空间 路 
径 上 映射 到 同一 个 文件 系统 路 径 ， 所 以 ， 应 当 尽 可 能 使 用 文件 系统 容器 。 但 是 也 有 一 个 例外 ， 


就 是 把 访问 限制 放 在 <Location /> 配置 段 中 可 以 很 安全 地 作用 于 除了 某 些 特定 URL 以 外 的 所 
有 URL。 


虚拟 主机 


«virtualHost» 容器 作用 于 特定 的 虚拟 主机 ， 为 同一 个 机 器 上 具有 不 同 配置 的 多 个 主机 提供 支 
持 。 详 见 虚 拟 主机 文档 。 


代理 


«Proxy» 和 «ProxyMatch» 容器 中 的 指使 仅 作 用 于 通过 mod proxy 代理 服务 器 访问 的 、 与 指定 
URL 匹 配 的 站 点 。 下 例 中 的 配置 会 拒绝 通过 代理 服务 器 访问 cnn.com 站 点 。 


<Proxy http://cnn.com/*> 
Order allow,deny 
Deny from all 


</Proxy> 


人 允许 使 用 哪些 指令 ? 


查阅 指使 的 作用 域 ， 就 可 以 知道 哪些 指 合 可 以 出 现在 哪些 配置 段 中 。 从 语法 上 看 ， 人 允许 
在 <Directory> 段 中 使 用 的 指令 当然 也 可 以 
在 <DirectoryMatch> 、 «Files» 、  «FilesMatch» 、 «Location» 、  «LocationMatch» 、 «Proxy» 


. «ProxyMatch» 段 中 使 用 ， 但 也 有 例外 : 


e AllowOverride 指令 只 能 出 现在 «Directory» FAH, 


* Options 中 的 FollowSymLinks 和 SymLinksIfOwnerMatch 只 能 出 现在 <Directory> 段 或 


者 .htaccess 文件 中 。 


* Options JE4 T BERI «Files» 和 «FilesMatch» ER, 


配置 段 的 合并 


配置 段 会 按 非 常 特别 的 顺序 依次 生效 ， 由 于 这 会 对 配置 指 倒 的 处 理 结 果 产 生 重大 影响 ， 因 此 
理解 它 的 流程 非常 重要 。 


合并 的 顺序 是 : 


1. «Directory» (除了 正则 表达 式 ) 和 .htaccess 同时 义理 ; (如 果 人 允许 的 话 ， .htaccess 的 设 
EREA Directory» 的 设置 ) 

2. <DirectoryMatch> (和 <Directory ~> ) 
«Files» 和 <FilesMatch> 同时 义理 


4. «Location» 和 <LocationMatch> 同时 义理 


除了 <Directory> ， 每 个 组 都 按 它们 在 配置 文件 中 出 现 的 顺序 被 依次 处 理 ， 

而 <Directory> (上 面 的 第 1 组 )， 会 按 字典 顺序 由 短 到 长 被 依次 处 理 。 例 

如 : «Directory /var/web/dir» 会 先 于 <Directory /var/web/dir/subdir» 被 处 理 。 如 果 有 多 个 
指向 同一 个 目录 的 «pirectorys 段 ， 则 按 它们 在 配置 文件 中 的 顺序 被 依次 处 理 。 用 Include 指 
今 包含 进来 的 配置 被 视 为 按 原样 插入 到 Include 指使 的 位 置 。 


位 于 «virtualHost» 容器 中 的 配置 段 在 外 部 对 应 的 段 你 理 完 毕 以 后 再 处 理 ， 这 样 就 允许 虚拟 主 
机 覆盖 主 服 务 器 的 设置 。 


当 请 求 是 由 mod proxy 处 理 的 时 候 ， <Proxy> 容器 将 会 在 义理 顺序 中 取代 «Directory» 容器 的 
位 置 。 


后 面 的 段 履 盖 前 面 的 相应 的 段 。 
技术 说 明 


其 实 ， 在 名 称 翻 译 阶 段 ( 即 用 Aliases 和 DocumentRoots 来 映射 URL 到 文件 系统 ) 之 前 ， 会 有 一 
个 «Location» / <LocationMatch> 的 序列 被 处 理 ， 而 在 名 称 翻译 结束 后 ， 这 个 序列 的 处 理 结果 
则 被 完全 抛弃 。 


一 些 例子 


这 是 一 个 演示 合并 顺序 的 例子 。 如 果 这 些 指使 都 起 作用 ， 则 会 按 A>B>C>D >E 的 顺序 依 
次 生效 。 


«Location /» 

E 

</Location> 
«Files f.html» 

D 

</Files> 
<VirtualHost *> 
<Directory /a/b> 
B 

</Directory> 
</VirtualHost> 
<DirectoryMatch "^.*b$"» 
C 
</DirectoryMatch> 
<Directory /a/b> 
A 


</Directory> 


在 下 面 这 个 更 具体 的 例子 中 ， 无 论 在 <directory> 段 中 加 了 多 少 访问 限制 ， 由 
于 «Location» 段 将 会 被 最 后 义理 ， 从 而 会 允许 不 加 限制 的 对 服务 器 的 访 问 ， 可 见 合并 的 顺序 
是 很 重要 的 ， 千 万 小 心 ! 


«Location /> 

Order deny,allow 

Allow from all 

</Location> 

# 这 个 <Directory> 段 将 不 会 实际 生效 
<Directory /> 

order allow, deny 

Allow from all 

Deny from badguy.example.com 


</Directory> 


缓冲 指南 


这 篇 文档 是 对 mod cache 、 mod disk cache 、 mod mem cache 、 mod file cache 和 
htcacheclean 参 考 文档 内 容 的 增补 。 它 描述 了 如 何 利 用 Apache 的 缓冲 特性 来 加 速 web 和 代理 
(proxy) 服 务 ， 同 时 避免 一 些 常见 的 问题 和 配置 错误 。 
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从 Apache2.2 起 ， mod cache 和 mod file cache 将 不 再 是 试验 模块 ， 它 们 已 经 足够 稳定 ， 可 以 
用 于 实际 生产 中 了 。 这 些 缓冲 体系 提供 了 一 个 强 有 力 的 途径 来 加 速 原 始 web 服 务 器 (origin 
webserver) 和 代理 服务 器 (proxy) 的 HTTP 人 处 理 速度 。 


mod cache 以 及 它 的 支持 模块 mod mem cache 和 mod disk cache 提供 了 智能 的 HTTP 缓 冲 。 内 
容 (content) 本 身 被 存储 在 缓冲 区 中 ， mod_cache 的 目的 在 于 管理 控制 内 容 缓冲 能 力 的 各 种 
HTTP 头 和 选项 。 它 可 以 同时 处 理 本 地 的 内 容 和 代理 的 内 容 。 mod cache 被 设计 为 同时 针对 简 
单 的 和 复杂 的 缓冲 配置 ， 以 用 于 人 处理 代理 的 内 容 、 动 态 的 本 地 内 容 、 必 须 加 速 访问 的 随时 间 
而 改变 本 地 文件 。 


另 一 方面 ， mod_file_cache 实现 了 一 个 更 基本 的 、 但 是 在 某 些 情况 下 更 有 效 的 缓冲 形式 ， 它 
避免 了 主动 确保 URL 缓 冲 能 力 所 需 的 维护 复杂 性 ， mod file cache 通过 提供 文件 句柄 (file- 
handle) 和 内 存 映射 (memory-mapping) 的 技巧 来 维持 一 个 自 Apache 最 后 一 次 启动 以 来 的 文件 
缓冲 区 。 同 样 地 ， mod file cache 的 目标 是 改善 不 常 修改 的 本 地 静态 文件 的 访问 时 间 。 

由 于 mod file cache 提供 了 一 个 相对 简单 的 缓冲 实现 ， 除了 cacheFile 和 MMapStatic 文档 的 
特定 段落 之 外 ， 这 篇 指南 的 说 明 履 盖 了 mod cache 的 缓存 体系 结构 。 


为 了 更 好 的 理解 这 篇 文档 ， 你 应 当 熟 悉 HTTP 的 基础 知识 ， 并 且 已 经 阅读 过 从 URL 到 文件 系统 
的 映射 和 内 容 协商 这 两 篇 用 户 指南 。 


缓冲 概述 
相关 模块 


* mod cache 
* mod mem cache 
* mod disk cache 


* mod file cache 
相关 指令 


*  CacheEnable 


*  CacheDisable 

* MMapStatic 

*  CacheFile 

*  CacheFile 

*  UseCanonicalName 


*  CacheNegotiatedDocs 


在 一 个 请 求 的 生存 期 中 ， mod cache 内 可 能 会 发 生 两 个 主要 阶段 。 首 先 ， mod_cache 将 是 一 个 
URL 映 射 模 块 ， 也 就 是 说 ， 如 果 一 个 URL 已 经 被 缓存 并 且 这 个 缓存 尚未 失效 ， 该 请 求 将 
由 mod_cache 直接 义理 。 


这 也 意味 着 在 处 理 一 个 请 求 时 通常 还 要 发 生 的 其 他 阶段 : 比如 由 mod_proxy 或 mod_rewrite 处 
理 的 阶段 ， 将 不 会 发 生 。 不 过 ， 这 正 是 将 内 容 缓存 起 来 的 关键 所 在 。[ 虽 然 某 些 阶段 被 省 略 
了 ， 但 这 正 是 启用 缓冲 特性 的 初衷 : 减少 处 理 步 又 以 提高 速度 。] 


如 果 这 个 URL 不 在 缓存 中 ， mod_cache 将 会 在 请 求 的 处 理 过 程 中 添加 一 个 过 滤器 。 在 Apache 
使 用 通常 的 方法 定位 内 容 之 后 ， 该 过 滤器 将 会 在 内 容 被 用 于 服务 以 后 运行 。 如 果 该 内 容 被 确 
定 为 可 以 缓存 ， 那 么 它 将 被 保存 在 缓冲 区 中 以 便 为 将 来 的 请 求 提供 服务 。 


如 果 该 URL 存 在 于 缓存 中 并 且 已 经 失效 的 话 ， 该 过 滤器 同样 会 被 添加 ， 但 是 mod cache 将 会 
同时 向 后 端 (backend) 提 交 一 个 条 件 请 求 以 确定 缓存 的 版 本 是 否 是 当前 的 最 新 版 本 。 如 果 是 最 
新 版 本 ， 那 么 它 的 元 信息 (meta-information) 将 会 被 更 新 并 且 使 用 这 个 缓存 的 版 本 来 服务 于 该 
请 求 。 如 果 不 是 最 新 版 本 ， 那 么 过 滤器 将 使 用 刚才 为 请 求 提供 服务 的 最 新 内 容 更 新 缓存 。 


提高 缓存 命中 率 


在 缓存 本 地 生成 的 内 容 的 时 候 ， 将 usecanonicalName 指令 设置 为 on 可 以 显著 提高 缓存 的 命 
中 率 。 这 是 由 于 为 缓冲 区 提供 内 容 的 虚拟 主机 的 主机 名 是 缓冲 键 (cache key) 的 组 成 部 分 。 当 
该 指令 设置 为 on 时 ， 具 有 多 个 服务 器 名 或 别名 的 虚拟 主机 将 不 会 产生 不 同 的 缓存 实体 ， 而 
是 按照 各 自 的 规范 主机 名 (canonical hostname) 来 存储 。 


由 于 缓存 发 生 在 将 URL 映 射 到 文件 系统 的 阶段 ， 缓 存 的 文档 将 只 被 用 来 响应 对 URL 的 请 求 。 


通常 情况 下 这 没什么 重大 意义 ， 但 是 当 你 使 用 服务 端 包 含 (Server Side Includes) 时 ， 这 一 点 将 
显得 特别 重要 : 


«i-- 下 面 的 包含 可 以 被 缓存 - -> 
<!--#include virtual="/footer.html" --> 


<!-- 下 面 的 包含 不 可 以 被 缓存 --> 
<!--#include file-"/path/to/footer.html" --> 


如 果 你 使 用 服务 端 包含 (SSI)， 并 且 和 希望 从 缓冲 中 获得 快速 服务 好 处 ， 你 应 当 使 用 virtual X 
型 的 包含 。 


失效 周期 (Expiry Periods) 


缓存 实体 的 默认 失效 周期 是 一 个 小 时 (3600 秒 )， 当 然 这 个 可 以 轻易 的 通 
过 CacheDefaultExpire 指 命 来 修改 。 这 个 默认 值 仅仅 用 在 产 生 内 容 的 原始 资源 没有 明确 指定 
失效 时 间或 最 后 修改 时 间 的 情况 下 。 


如 果 一 个 应 答 没有 包含 Expires 头 但 却 包含 Last-Modified 头 时 ， mod cache 可 以 根 
据 CacheLastModifiedFactor 指 倒 推断 出 失效 周期 。 


对 于 本 地 内 容 ， mod expires 可 以 用 来 调整 失效 周期 。 


失效 周期 的 最 大 值 还 可 以 通过 cacheMaxExpire 指令 来 控制 。 


关于 条 件 请 求 (Conditional Request) 的 简短 说 明 


当 缓 存 的 内 容 失 效 并 且 被 从 后 端 (backend) 或 内 容 提供 者 (content provider) 那 里 重新 请 求 的 时 
候 ，Apache 并 不 直接 传递 原始 的 请 求 ， 而 是 使 用 一 个 条 件 请 求 (conditional request). 


HTTP 协 议 使 用 的 一 些 头 (headen) 人 允许 客户 端 或 缓冲 区 鉴别 同一 个 内 容 的 不 同 版 本 。 例 如 ， 如 
果 一 个 资源 应 答 了 "Etag:" 头 ， 那 么 就 可 以 生成 一 个 包含 "If-Match:" 头 的 条 件 请 求 ; 如 果 一 个 资 
源 应 答 了 "Last-Modified:" 头 ， 那 么 就 可 以 生成 一 个 包含 "IfModified-Since:" 头 的 条 件 请 求 ; 等 
等 5 


对 于 这 样 的 条 件 请 求 ， 应 答 的 不 同 取决 于 内 容 是 否 匹 配 这 些 条 件 。 如 果 一 个 请 求 包含 一 个 "If- 
Modified-Since:" 头 ， 而 请 求 的 内 容 在 指定 的 时 间 之 后 并 未 发 生 改 变 ， 那 么 一 个 简洁 的 "304 
Not Modified" 应 答 就 可 以 了 。 


如 果 请 求 的 内 容 已 经 变化 ， 那 么 将 按照 原来 没有 条 件 请 求 的 普通 方式 来 应 答 。 


和 缓存 相关 的 条 件 请 求 的 好 处 有 两 个 方面 。 首 先 ， 当 向 后 端 提交 这 样 的 条 件 请 求 时 ， 如 果 从 
后 端 获得 的 内 容 与 存储 的 内 容 相 匹配 (这 很 容易 确定 )， 就 可 以 避免 由 于 传递 全 部 资源 所 带 来 的 
开销 。 


其 次 ， 条 件 请 求 通常 只 让 后 端 花费 较 小 的 开销 。 对 于 静态 文件 ， 通 常 所 有 的 开销 就 是 一 

个 stat() 或 类 似 的 系统 调用 以 确定 改 文件 的 大 小 是 否 变化 以 及 最 后 修改 时 间 。 这 样 ， 如 果 被 
请 求 的 内 容 尚 未 变化 ， 其 至 在 Apache 缓 存 的 本 地 内 容 已 经 失效 的 情况 下 ， 仍 然 可 以 从 缓冲 区 
中 快速 取得 以 服务 于 请 求 一 只 要 从 缓冲 区 读 取 比 从 后 端 读 取 更 快 (例如 从 内 存 缓冲 区 读 取 就 
PE Mase & F 5: BY EIR). 





什么 可 以 个 缓 存 ? 


如 前 所 述 ， Apache 中 的 缓冲 存在 两 种 不 同 工 作 方式 。 mod file cache 的 缓冲 区 负责 维护 
Apache 和 启动 时 的 文件 内 容 。 当 一 个 存在 于 该 模块 缓冲 区 中 的 文件 被 请 求 时 ， 该 请 求 将 被 拦截 
并 用 缓冲 区 中 的 内 容 为 其 提供 服务 。 


mod cache 的 缓冲 区 相对 而 言 较为 复杂 。 当 服务 于 一 个 请 求 时 ， 如 果 它 先前 并 未 被 缓存 ， 则 
缓冲 模块 将 会 判断 该 内 容 是 否 可 以 被 缓存 。 判 断 应 答 的 缓冲 能 力 (cachability) 基 于 以 下 条 件 : 


1. 必须 为 该 URL 启用 了 缓冲 。 请 参考 cacheEnable 和 cacheDisable 指 兮 。 

2， 应 答 必 须 具 有 如 下 HTTP 状 态 码 : 200, 203, 300, 301, 410. 

3. 该 请 求 必 须 是 一 个 HTTP GET 请 求 。 

4， 如 果 请 求 包 含 "Authorization:" 头 ， 则 应 答 不 被 缓存 。 

5 如果 应 答 包 含 "Authorization:" 头 ， 它 必须 同时 也 在 "Cache-Control:" 头 中 包含 "s- 
maxage"、"must-revalidate" 或 "public" 选 项 。 

6.， 如果 该 URL 包 含 一 个 请 求 字 符 串 (比如 来 自 于 一 个 使 用 GET 方 法 的 HTML 表 格 )， 除 非 应 答 
包含 "Expires:" 头 ， 否 则 将 不 被 缓存 。 这 是 基于 RFC2616 的 13.9 小 节 的 规范 。 

7， 如 果 应 答 的 状态 码 是 200(OK)， 除 非 明 确 打 开 了 cacheIgnoreNoLastMod 指令 ， 否 则 该 应 答 
还 必须 至 少 包 含 一 个 "Etag"、"Last-Modified" 或 "Expires" 头 才能 被 缓存 。 

8. 如果 应 答 头 "Cache-Control:" 中 包含 "private" 选 项 ， 除 非 明确 打开 了 cachestorePrivate 指 
令 ， 否 则 将 不 被 缓存 。 

9. 同样 ， 如 果 应 答 头 "Cache-Control:" 中 包含 "no-store" 选 项 ， 除 非 明确 打开 
了 cachestoreNostore 指令 ， 否 则 将 不 被 缓存 。 

10. 如果 应 答 包 含 "Vary:" 头 ， 并 且 其 中 包含 通配符 "“"( 匹 配 所 有 )， 也 将 不 被 缓存 。 


什么 不 应 该 被 缓存 ? 


简 而 言 之 ， 随 时 间 变 化 的 内 容 不 应 该 被 缓存 ; 取决 于 特定 请 求 的 内 容 不 应 该 被 缓存 ; 依赖 于 
不 被 HTTP 内 容 协商 处 理 的 请 求 的 内 容 也 不 应 该 被 缓存 。[ 本 句 翻 译 的 很 没 把 握 ， 原 文 : In 
short, any content which is highly time-sensitive, or which varies depending on the 
particulars of the request that are not covered by HTTP negotiation, should not be cached.] 


如 果 你 有 某 些 动 态 内 容 ， 它 们 的 变化 依赖 于 请 求 发 起 者 的 IP 地 址 或 者 差不多 每 5 分 钟 就 会 发 生 
改变 ， 那 么 这 些 内 容 毫 无 疑问 是 不 应 该 被 缓存 的 。 


另 一 方面 ， 如 果 内 容 的 变化 依赖 于 各 种 HTTP 头 ， 更 加 明智 的 做 法 可 能 是 通过 使 用 "Vary" 头 进 
行 缓存 。 


易 变 的 /协商 的 内 容 


34 mod cache 接收 到 一 个 后 端 发 出 的 、 带 有 "Vary" 头 的 应 答 的 时 候 ， 它 将 尽 可 能 智能 的 处 理 
它 。 如 果 有 机 会 ， mod_cache 将 会 检查 之 后 进入 的 请 求 的 "Vary" 头 属性 ， 然 后 用 正确 的 缓冲 区 
内 容 为 这 个 请 求 提供 服务 。 


举 个 例子 来 说 ， 接 收 到 一 个 带 有 如 下 "Vary" 头 的 应 答 : 


Vary: negotiate,accept-language,accept-charset 


mod cache 将 只 会 使 用 与 原始 请 求 的 accept-language 和 accept-charset 头 匹配 的 缓存 内 容 来 提 
供 服 务 。 


安全 方面 的 考虑 


授权 (Authorisation)， 访 问 控制 (Access & Control) 


mod cache 非常 像 一 个 内 置 的 反 向 代理 (reverse-proxy)。 除 非 必须 要 向 后 端 提交 请 求 ， 否 则 组 
冲模 块 将 直接 为 请 求 提供 服务 。 对 于 缓冲 本 地 资源 ， 这 种 模式 彻底 改变 了 Apache 的 安全 模 
型 。 


因为 通 历 文件 系统 的 目录 结构 以 寻找 可 能 存在 的 .htaccess 文件 是 一 个 开销 非常 昂贵 的 操 
作 ， 它 部 分 地 抵消 了 缓冲 所 带 来 的 好 处 (加 速 请 求 )， 所 以 mod cache 并 不 检查 缓存 中 的 实体 是 
否 被 允许 (authorised) 用 于 提供 服务 。 换 名 话说 ， 只 要 mod cache 中 缓存 的 内 容 尚 未 失效 ， 那 
么 它们 将 被 直接 用 于 为 请 求 提供 服务 。 


举例 来 说 ， 如 果 你 为 某 个 资源 按照 IP 地 址 配置 了 访问 许可 ， 你 必须 要 确保 这 些 内 容 不 被 组 
存 。 你 可 以 使 用 cachepisable 指令 或 mod expires 模块 达到 这 个 目的 。 不 做 权限 检查 

的 mod cache 模块 非常 像 一 个 反 向 代理 : 缓存 内 容 并 用 缓存 的 内 容 向 任意 IP 地 址 上 的 任意 客户 
提供 服务 。 


本 地 利用 (Local exploits) 


因为 终端 用 户 的 请 求 可 以 由 缓冲 区 直接 提供 服务 ， 所 以 缓冲 区 自身 便 成 为 一 个 那些 企图 干 
扰 、 破 坏 内 容 的 攻击 者 的 攻击 目标 。 很 重要 的 、 需 要 牢记 的 一 点 是 : 缓冲 区 必须 始终 对 运行 
Apache 的 用 户 是 可 写 的 。 这 正好 与 通常 的 原则 : 始终 保持 所 有 内 容 对 运行 Apache 的 用 户 不 可 
写 ， 完 全 相反 ! 


如 果 运 行 Apache 的 用 户 是 潜在 的 不 安全 用 户 ， 比 如 ， 通 过 一 个 有 漏洞 的 CGI 进程 ， 就 有 可 能 
对 缓冲 区 发 起 攻击 ， 当 使 用 mod disk cache 的 时 候 ， 就 很 容易 插入 或 者 修改 缓冲 区 中 内 容 。 


这 样 一 来 ， 运 行 Apache 的 用 户 就 会 增加 一 个 与 其 它 类 型 的 攻击 相 比 更 加 危险 的 安全 隐患 。 如 
果 你 正在 使 用 mod disk cache ， 你 必须 时 刻 牢 记 : 确保 为 Apache 及 时 打上 所 有 的 安全 补丁 并 
且 使 用 suEXEC 以 一 个 不 同 于 运行 Apache 用 户 的 其 他 用 户 身份 运行 CGI 进程 。 


缓存 中 毒 (Cache Poisoning) 


当 将 Apache 作 为 一 个 缓冲 代理 服务 器 运行 的 时 候 ， 将 可 能 存在 一 个 所 谓 " 缓 存 中 毒 "的 问 
Bü. "缓存 中 毒 "是 一 个 泛称 术语 ， 用 于 指 代 各 种 造成 代理 服务 器 从 后 台 检 索 到 错误 内 容 的 攻 
击 。 


举 个 例子 来 说， 如 果 你 运行 Apache 的 系统 所 使 用 的 DNS 服务 器 发 生 了 DNS 缓存 中 毒 ， 攻 击 者 
将 可 能 欺骗 Apache 连 接 到 一 个 错误 的 服务 器 去 请 求 内 容 。 另 一 个 例子 是 所 谓 的 HTTP 请 求 走 

私 (request-smuggling) 攻 击 。 

这 篇 文档 并 不 是 深入 探讨 HTTP 请 求 走 私 的 地 方 (你 应 当 去 问 google)， 但 有 一 点 你 必须 知道 : 

攻击 者 可 以 通过 制造 一 连 串 的 请 求 并 利用 原始 web 服 务 器 的 漏洞 ， 达 到 完全 控制 代理 服务 器 所 
检索 到 的 内 容 的 目的 。 


文件 句柄 缓冲 (File-Handle Caching) 


相关 模块 


* mod file cache 


* mod mem cache 
相关 指令 


*  CacheFile 
*  CacheEnable 


*  CacheDisable 


打开 文件 的 动作 本 身 就 是 一 个 造成 延 时 的 原因 ， 特 别 是 打开 网 络 文件 系统 中 的 文件 。 通 过 维 
护 一 个 保存 高 使 用 率 文件 的 文件 描述 符 的 缓冲 区 ，Apache 就 可 以 避免 这 种 延 时 。 当 前 ， 
Apache 提 供 了 两 种 不 同 的 文件 句柄 缓冲 实现 方法 。 


缓冲 文件 (CacheFile) 


存在 于 Apache 中 最 基本 的 缓冲 方式 是 由 mod. file cache 实现 的 文件 句柄 (file-handle) 缓 冲 。 胜 
于 缓存 文件 内 容 本 身 ， 这 个 缓冲 区 维护 一 张 打 开 的 文件 描述 符 表 ， 用 于 保存 在 配置 文件 中 使 
用 cacheFile 指令 指定 的 文件 的 文件 句柄 。 


cacheFile 指令 指示 Apache 在 启动 时 打开 某 个 文件 并 且 为 所 有 之 后 对 这 个 文件 的 访问 重复 使 
用 这 个 文件 句柄 。 


CacheFile /usr/local/apache2/htdocs/index.html 


如 果 你 打算 使 用 这 种 方式 缓存 大 量 的 文件 句柄 ， 你 必须 确保 操作 系统 对 同时 打开 的 文件 的 数 
量 限制 是 足够 的 。 


虽然 使 用 cacheFile 不 会 导致 文件 的 内 容 被 缓存 ， 但 是 将 会 导致 在 Apache 运 行 期 间 所 有 对 文 
件 的 更 改 都 不 会 生效 。 用 于 提供 服务 的 文件 的 内 容 将 从 Apache 和 启动 以 来 一 直 保 持 不 变 。 


如 果 在 Apache 运 行 期 间 文件 被 删除 了 ，Apache 将 会 持续 维护 一 个 打开 的 文件 描述 符 并 且 使 用 
Apache 和 启动 时 文件 的 内 容 来 提供 服务 。 这 个 通常 也 意味 着 虽然 文件 已 经 被 删除 ， 并 且 不 在 文 
件 系 统 中 显示 出 来 ， 但 是 释放 的 空间 并 不 会 被 覆盖 ， 直 到 Apache 被 停止 、 文 件 描述 符 被 关 
闭 。 


CacheEnable fd 
mod mem cache 也 提供 了 一 个 文件 句柄 缓冲 方案 ， 可 以 通过 cacheenable 指令 来 启用 。 


CacheEnable fd / 


与 mod cache 的 方案 相 比 ， 这 种 方案 更 加 智能 : 缓存 内 容 失 效 以 后 相应 的 句柄 将 不 再 被 维 
Fo 


内 存 缓冲 (In-Memory Caching) 


相关 模块 


* mod mem cache 


* mod file cache 
相关 指令 


*  CacheEnable 
*  CacheDisable 


*  MMapStatic 


直接 从 系统 的 内 存 中 提供 服务 通常 是 取得 服务 内 容 最 快速 的 方法 。 从 一 个 磁盘 控制 器 读 取 文 
件 ， 或 者 更 糟糕 的 是 从 远程 网 络 读 取 文件 ， 其 速度 要 慢 上 几 个 数量 级 。 磁 喜 控 制 器 通常 涉及 
到 物理 动作 ， 访 问 网 络 要 受 限于 网 络 带 宽 ， 而 访问 内 存 通常 仅仅 只 需要 几 毫 微 秒 时 间 。 


内 存 也 许 是 目前 单位 字 节 最 昂贵 的 存储 器 ， 保 证 它 充 分 发 挥 作用 非常 重要 。 将 文件 缓存 在 内 
存 中 将 导致 系统 可 用 内 存 的 减少 。 正 如 我 们 将 要 看 到 的 ， 在 操作 系统 存在 内 存 缓冲 区 的 情况 
下 ， 这 不 是 一 个 大 问题 。 但 是 当 使 用 Apache 自 己 的 内 存 缓 冲 区 的 情况 下 ， 确 保 没有 为 缓冲 区 
分 配 太 多 的 内 存 就 显得 十 分 重要 。 否 则 ， 操 作 系 统 将 会 使 用 swap( 虚 拟 内 存 /交换 区 )， 这 可 能 
会 导致 性 能 急剧 下 降 。 


操作 系统 缓冲 


几乎 所 有 现代 的 操作 系统 都 由 内 核 直 接管 理 文件 数据 在 内 存 中 的 缓冲 。 这 是 一 个 强 有 力 的 特 
性 ， 并 且 在 极 大 程度 上 操作 系统 做 的 非常 好 。 上 比如 在 Linux 系 统 上 ， 让 我 们 看 看 第 一 次 读 取 一 
个 文件 和 第 二 次 读 取 同样 的 文件 所 需要 的 时 间 : 


colmQcoroebus:-$ time cat testfile » /dev/null 
real OmO .065s 
user 0mo.000s 
sys 0m0O.001s 
colmQcoroebus:-$ time cat testfile » /dev/null 
real 0mO.003s 
user 0mo.003s 
sys OmO . 000s 


即使 对 于 这 样 的 一 个 小 文件 ， 两 次 读 取 的 时 间 差 异 也 十 分 惊人 。 这 是 由 于 内 核 在 内 存 中 缓存 
了 文件 的 内 容 。 


通过 确保 在 你 的 系统 上 始终 存在 "多 余 的 "内 存 ， 你 就 可 以 确保 会 有 越 来 越 多 的 文件 内 容 被 缓存 
在 这 个 缓冲 区 中 。 这 是 一 个 非常 有 效 的 内 存 缓 冲 途 径 ， 并 且 根 本 无 需 对 Apache 作 出 任何 额外 
的 配置 。 


另外 ， 由 于 操作 系统 知道 文件 何 时 被 修改 或 删除 了 ， 它 就 可 以 自动 的 从 内 存 缓冲 区 中 删除 失 
效 的 文件 内 容 。 这 是 一 个 优 于 Apache 自 身 的 内 存 缓冲 区 的 巨大 优点 ， 因 为 Apache 无 法 得 知 文 
件 被 修改 或 删除 的 信息 。 


尽管 操作 系统 自动 管理 的 缓冲 区 有 着 性 能 和 洞悉 文件 状态 的 优势 ， 但 是 在 某 些 情况 下 Apache 
自己 的 内 存 缓冲 却 更 加 有 效 。 


首先 ， 操 作 系统 只 能 缓存 它 自己 知道 的 文件 ， 如 果 你 将 Apache 当 作 一 个 代理 服务 器 运行 ， 那 
么 Apache 可 以 缓存 非 本 地 文件 。 如 果 你 还 想 要 无 可 匹敌 的 内 存 缓 存 速 度 ， 也 必须 使 用 Apache 
自己 的 内 存 缓冲 区 。 

MMapsStatic 22 


mod file cache 提供 了 MMapStatic ES, 它 可 以 指示 Apache 在 启动 时 将 一 个 静态 文件 的 内 
容 映 射 到 内 存 中 (使 用 mmap() 系 统 调用 )。Apache 将 会 使 用 内 存 中 缓存 的 内 容 来 为 后 来 对 这 个 
文件 的 访问 提供 内 容 。 


MMapStatic /usr/local/apache2/htdocs/index.html 


使 用 了 cacheriie 指令 以 后 ， 在 Apache 运 行 期 间 ， 对 这 些 文件 所 做 的 任何 修改 都 不 会 生效 。 


MMapstatic 指令 并 不 关心 它 占 用 了 多 少 内 存 ， 所 以 你 必须 确保 不 要 过 度 滥 用 这 个 指令 。 每 个 
Apache 子 进程 都 将 复制 这 部 分 内 存 ， 所 以 非常 重要 的 一 点 是 你 必须 确保 被 映射 的 文件 不 能 
用 太 多 的 内 存 ， 以 至 于 操作 系统 不 得 不 使 用 交换 区 或 虚拟 内 存 。 


mod mem cache 缓冲 


mod mem cache 提供 了 一 个 智能 的 HTTP 内 存 缓冲 方案 。 它 同时 也 直接 使 用 堆 内 存 ， 这 也 意味 
着 即使 MMap 不 被 你 的 操作 系统 所 支持 ， mod mem cache 仍然 能 够 实现 缓冲 。 


这 种 类 型 的 缓冲 可 以 通过 以 下 方法 启用 : 
# 启用 内 存 缓冲 
CacheEnable mem / 


# 将 缓冲 区 的 大 小 限制 为 1 MB 
MCacheSize 1024 


磁盘 缓冲 (Disk-based Caching) 


相关 模块 
* mod disk cache 
相关 指令 


*  CacheEnable 


*  CacheDisable 


mod disk cache 为 mod cache 提供 了 一 个 基于 磁盘 的 缓冲 机 制 。 和 mod mem cache 一 样 ， 这 是 
一 种 智能 缓冲 ， 仅 在 缓存 内 容 没有 失效 的 情况 下 才 从 缓冲 区 中 提供 服务 。 


通常 ， 这 个 模块 将 按 如 下 方式 进行 配置 : 


CacheRoot /var/cache/apache/ 
CacheEnable disk / 
CacheDirLevels 2 
CacheDirLength 1 


请 注意 ， 因 为 缓冲 区 位 于 本 地 磁盘 上 ， 所 以 操作 系统 的 内 存 缓冲 区 通常 对 它们 的 访问 也 有 
效 。 所 以 虽然 这 些 文件 被 存储 在 本 地 磁 瘟 上 ， 但 若 这 些 文件 被 频繁 的 访问 ， 那 么 很 可 能 操作 
系统 已 经 将 它们 保存 在 内 存 中 了 。 


深入 理解 缓冲 存储 区 (Cache-Store) 


要 将 项 目 保 存在 缓冲 区 中 ， mod_disk_cache 会 为 被 请 求 的 URL 创 建 一 个 22 字 符 的 哈 希 值 。 该 
哈 希 值 包含 了 该 URL 的 主机 和 名、 协议、 端口、 路 径 、CG| 变 量 ， 以 确保 多 个 URL 不 会 发 生 碰 
撞 。 


这 22 个 字符 的 取 值 范围 是 64 个 不 同 的 字符 ， 这 意味 着 最 多 可 以 有 22^64 种 可 能 的 取 值 。 例 如 ， 
一 个 URL 的 哈 希 值 可 能 是 : xyTGxsMo2b68mBcykqkplw 。 这 个 哈 希 值 将 被 用 作 缓 存 中 对 应 于 那 
个 URL 的 文件 名 前 级， 但 是 首先 ， 这 个 哈 希 值 将 被 按照 CacheDirLevels 和 CacheDirLength 指 
兮 分 解 成 每 一 级 目录 名 。 


CacheDirLevels 指定 了 子 目 录 的 层 数 ， cachepirLength 指定 了 每 级 子 目 录 名 的 字符 数 。 使 用 
上 述 例子 的 设置 ， 这 个 哈 希 值 将 被 转化 成 如 下 文件 名 前 


缀 : /var/cache/apache/x/y/TGxSMO2b68mBCykqkp1w o 


使 用 这 种 技术 的 总 体 目标 是 减少 某 个 特定 目录 中 子 目录 或 文件 的 个 数 ， 因 为 绝 大 多 的 文件 系 
统 在 子 目录 或 文件 数 过 多 的 情况 下 的 访问 速度 都 会 大 打折 扣 。 将 cachepirLengtn 设置 为 "1" 将 
使 得 任意 一 层 目录 下 的 子 目录 数 都 不 会 超过 64， 若 为 设 为 "2" 则 为 64*64， 依 此 类 推 。 除 非 你 
有 一 个 非常 好 的 理由 ， 否 则 "1" 将 是 cachepirLength 指使 的 推荐 值 。 


如 何 设置 CacheDirLevels 指令 的 值 取 决 于 你 预计 到 将 会 在 缓冲 区 中 保存 多 少 个 文件 。 上 述 示 
例 使 用 的 "2" 将 会 导致 大 约会 有 4096 个 子 目录 最 终 被 建立 ， 大 约 100 万 个 文件 被 缓存 ， 大 约 平 
均 每 个 文件 夹 存储 245 个 URL 缓 冲 文件 。 


每 个 URL 在 缓冲 区 中 至 少 会 使 用 两 个 文件 。 通 常 ， 一 个 是 包含 了 URL 元 信息 (meta- 
information) 的 ".header" 文 件 ， 比 如 何 时 失效 ; 另 一 个 是 ".data" 文 件 ， 包 含 了 按 字 节 复制 的 用 
于 为 URL 提 供 服 务 的 内 容 。 


在 通过 使 用 "Vary" 头 进行 内 容 协商 的 情况 下 ， 将 会 为 该 URL 创 建 一 个 ".vary" 目 录 ， 该 目录 下 将 
会 保存 多 个 适合 不 同 协 商 内 容 的 ".data" 文 件 。 


维护 磁盘 缓冲 区 


虽然 mod disk cache 将 会 删除 缓冲 区 中 失效 的 文件 ， 但 是 它 并 不 负责 维护 整个 缓冲 区 总 共 究 
况 应 该 占据 多 大 空间 以 及 至 少 要 保留 多 少 剩余 空间 。 


作为 弥补 ，Apache 附 带 了 一 个 htcacheclean 工 具 ， 正 如 你 从 它 的 名 字 猜 到 的 ， 它 可 以 周期 性 
的 清理 缓冲 区 。 确 定 htcacheclean 的 运行 频率 以 及 缓冲 区 应 当 占 有 多 大 的 磁盘 空间 是 一 件 复杂 
的 事情 。 必 须要 经 过 多 次 尝试 和 碰壁 才能 找到 一 个 最 佳 值 。 


htcacheclean 有 两 种 运作 模型 。 一 种 是 作为 后 台 守 护 进程 运行 ， 或 者 由 cron 周 期 性 的 调 

用 。htcacheclean 经 常 使 用 一 个 小 时 或 更 多 的 时 间 来 处 理 非 常 巨大 的 ( 几 十 G) 缓 冲 区 ， 所 以 如 
果 你 是 使 用 cron 来 调用 它 的 话 ， 建 议 你 测试 一 下 多 长 时 间 和 运行 一 次 比较 合适 ， 以 避免 在 同一 
时 间 运 行 多 个 实例 。 


ee RRR 


SP A 


两 次 运行 
htcacheclean 


之 间 的 时 间 间 隅 





<dfn 
class="calibre50"> 图 1</dfn>: 一 个 典型 的 缓冲 区 增长 和 清理 的 周期 


为 mod_disk_cache 模块 自身 并 不 关心 究竟 实际 使 用 了 多 少 磁 胡 空间 ， 所 以 你 必须 确保 
htcacheclean 被 配置 为 在 清理 了 缓冲 区 以 后 预 留 了 足够 多 的 "增长 空间 "。 


服务 器 全 局 配置 


本 文档 说 明了 由 服务 器 核心 ( core ) 提 供 的 以 实现 基本 服务 器 运转 的 一 些 指 倒 。 


服务 絮 标 识 
相关 模块 


* ServerName 

@ ServerAdmin 

*  ServerSignature 
*  ServerTokens 

*  UseCanonicalName 


*  UseCanonicalPhysicalPort 
KK 


ServerAdmin 和 Servertokens 指令 控制 有 关 服 务 器 的 哪些 信息 将 出 现在 服务 器 生成 的 文档 中 
(如 错误 消息 )。 serverTokens 指令 设置 服务 器 HTTP 响 应 头 字段 的 值 。 


ServerName 、 UseCanonicalName 、 UseCanonicalPhysicalPort 指令 用 来 决定 怎样 构建 自 引用 
URL， 璧 如 ， 某 客户 端 对 一 个 目录 发 出 请 求 ， 但 没有 包含 目录 名 最 后 的 斜 线 /"，Apache 将 重 
定向 客户 端 到 包含 "" 的 全 名 ， 以 使 得 客户 端 可 以 正确 解析 文档 中 的 相对 引用 。 


文件 定位 
相关 模块 


*  CoreDumpDirectory 
* DocumentRoot 

* ErrorLog 

e LockFile 

e PidFile 

@  ScoreBoardFile 


* ServerRoot 
TEE 


这 些 指令 控制 Apache 正 常 工作 所 需 的 各 种 文件 的 定位 。 如 果 路 径 名 不 以 斜 线 (/) 开 头 ， 那 么 就 
认为 该 文件 是 相对 于 serverRoot 的 相对 路 径 ， 需 要 注意 路 径 中 的 文件 哪些 对 非 root 用 户 来 说 
是 可 写 的 ， 参 见 安全 提示 以 获得 更 多 细节 。 


限制 资源 的 使 用 
相关 模块 


* LimitRequestBody 

* LimitRequestFields 

* LimitRequestFieldsize 
* LimitRequestLine 

*  RLimitCPU 

©  RLimitMEM 

*  RLimitNPROC 


*  ThreadStackSize 
相关 指令 


LimitRequest* 系列 指令 用 来 限制 Apache 在 读 取 客 户 端 请 求 的 过 程 中 使 用 的 资源 数量 。 通过 
限制 这 些 值 ， 可 以 减轻 某 些 拒绝 服务 (DOS) 攻 击 。 


RLimit* 系列 指 命 限制 被 Apache 子 进程 所 派生 的 进程 使 用 的 资源 数量 ， 通 常 ， 这 些 指 合用 来 
控制 CGI 脚本 和 SSI exec 命 令 所 使 用 的 资源 。 


ThreadStackSize 指令 在 某 些 平 台 上 用 来 控制 堆栈 大 小 。 


日 志文 件 


要 有 效 地 管理 Web 服 务 器 ， 就 有 必要 反馈 服务 器 的 活动 、 性 能 以 及 出 现 的 问题 。Apache 
HTTP 服 务 器 提供 了 非常 全 面 而 灵活 的 日 志 记 录 功 能 。 本 文 将 阐述 如 何 配置 文件 以 及 如 何 理 解 
日 志 内 容 。 


任何 人 只 要 对 Apache 存 放 日 志文 件 的 目录 县 有 写 权 限 ， 也 就 当然 地 可 以 获得 启动 Apache 的 用 
户 (通常 是 root) 的 权限 ， 绝 对 不 要 随意 给 予 任何 人 存放 日 志文 件 目录 的 写 权 限 。 细 节 请 参见 安 
全 方面 的 提示 。 


另外 ， 日 志文 件 可 能 会 包含 未 加 转换 的 来 自用 户 的 信息 ， 用 户 就 有 机 会 悉 意 插入 控制 符 ， 所 
以 处 理 原始 日 志 时 应 该 当心 这 个 问题 。 


错误 日 志 (Error Log) 


相关 模块 


* ErrorLog 


* LogLevel 
相关 指令 


绑 误 日 志 是 最 重要 的 日 志文 件 ， 其 文件 名 和 位 置 取决 于 ErrorLog 指令 。Apache httpd 将 在 这 
个 文件 中 存放 诊断 信息 和 义理 请 求 中 出 现 的 错误 ， 由 于 这 里 经 常 包含 了 出 错 细节 以 及 如 何 解 
决 ， 如 果 服 务 器 启动 或 运行 中 有 问题 ， 首 先 就 应 该 查看 这 个 错误 日 志 。 


错误 日 志 通 常 被 写 入 一 个 文件 (unix 系 统 上 一 般 是 error log ，Windows 和 OS/2 上 一 般 
是 error.log )e 在 unix 系 统 中 ， 错误 日 志 还 可 能 被 重 定向 到 syslog 或 通过 管道 操作 传递 给 一 
个 程序 。 


车 误 日 志 的 格式 相对 灵活， 并 可 以 附加 文字 描述 。 某 些 信 息 会 出 现在 绝 大 多 数 记 录 中 ， 一 个 
典型 的 例子 是 : 
[Wed Oct 11 14:32:52 2000] [error] [client 127.0.0.1] 


client denied by server configuration: 
/export/home/live/ap/htdocs/test 


其 中 ， 第 一 项 是 错误 发 生 的 日 期 和 时 间 ; 第 二 项 是 错误 的 严重 性 ， LogLevel 指令 使 只 有 高 于 
指定 严重 性 级 别 的 错误 才 会 被 记录 ; 第 三 项 是 导致 错误 的 IP 地 址 ; 此 后 是 信息 本 身 ， 在 此 例 
中 ， 服 务 器 拒绝 了 这 个 客户 的 访问 。 服 务 器 在 记录 被 访问 文件 时 ， 用 的 是 文件 系统 路 径 ， 而 
不 是 Web 路 径 。 


鞭 误 日 志 中 会 包含 类 似 上 述 例子 的 多 种 类 型 的 信息 。 此 外 ，CGI 脚 本 中 任何 输出 到 stderr 的 
信息 会 作为 调试 信息 原封 不 动 地 记录 到 错误 日 志 


用 户 可 以 增加 或 删除 错误 日 志 的 项 。 但 是 对 某 些 特殊 请 求 ， 在 访问 日 志 (access log) 中 也 会 有 
相应 的 记录 ， 比 如 上 述 例子 在 访问 日 志 中 也 会 有 相应 的 记录 ， 其 状态 码 是 403， 因 为 访问 日 志 
也 可 以 定制 ， 所 以 可 以 从 访问 日 志 中 得 到 错误 事件 的 更 多 信息 。 


在 测试 中 ， 对 任何 问题 持续 监视 错误 日 志 是 非常 有 用 的 。 在 unix 系 统 中 ， 可 以 这 样 做 : 


tail -f error log 


访问 日 志 (Access Log) 


相关 模块 


* mod_log_config 


* mod setenvif 
相关 指令 


*  CustomLog 
*  LogFormat 


©  SetEnvIf 


访问 日 志 中 会 记录 服务 器 所 义理 的 所 有 请 求 ， 其 文件 名 和 位 置 取 决 于 customLog 指 
S LogFormat 指令 可 以 简化 日 志 的 内 容 。 这 里 阐述 如 何 配置 服务 器 的 访 问 日 志 。 


实施 日 志 管 理 ， 首先 当然 必须 产生 访 问 日 志 ， 然后 才能 分 析 日 志 从 而 得 到 有 用 的 统计 信息 ^o 
日 志 分 析 不 是 Web 服 务 器 的 职责 ， 已 超出 本 文 的 范畴 ， 更 多 资料 和 有 关 分 析 工 具 的 信息 ， 可 
以 查看 Open Directory 或 Yahoo 。 


不 同 版 本 的 Apache httpd 使 用 了 不 同 的 模块 和 指令 来 控制 对 访问 的 记录 ， 包 括 
mod log referer, mod log agent 和 rransferLog 指令 。 现 在 ， customLog 指令 包含 了 旧版 本 


中 相关 指令 的 所 有 功能 。 


访问 日 志 的 格式 是 高 度 灵活 的 ， 使 用 很 象 C 风 格 的 printf() 函 数 的 格式 字符 串 。 下 面 有 几 个 例 
子 ， 完整 的 说 明 可 以 查看 用 于 mod log config 模块 的 格式 字符 串 。 


通用 日 志 格式 (Common Log Format) 


这 是 一 个 典型 的 记录 格式 : 


LogFormat "96h 961 96u 96t \"%r\" 9695s 96b" common 


CustomLog logs/access log common 


它 定 义 了 一 种 特定 的 记录 格式 字符 串 ， 并 给 它 起 了 个 别名 叫 common ， 其 中 的 "%" 指 示 服 务 器 
用 某 种 信息 替换 ， 其 他 字符 则 不 作 蔡 换 。 引 号 ( " ) 必 须 加 反 斜 枉 转 义 ， 以 避免 被 解释 为 字符 
串 的 结束 。 格 式 字 符 串 还 可 以 包含 特殊 的 控制 符 ， 如 换行 符 " n", BRI t "o 


customLog 指令 建立 一 个 使 用 指定 别名 的 新 日 志文 件 ， 除 非 其 文件 名 是 以 斜 枉 开头 的 绝对 路 
径 ， 否 则 其 路 径 就 是 相对 于 serverRoot 的 相对 路 径 。 
上 述 配置 是 一 种 被 称 为 通用 日 志 格 式 (CLF) 的 记录 格式 ， 它 被 许多 不 同 的 Web 服 务 器 所 采用 ， 
并 被 许多 日 志 分 析 程 序 所 识别 ， 它 产生 的 记录 形 如 : 


127.0.0.1 - frank [10/0ct/2000:13:55:36 -0700] "GET 
/apache pb.gif HTTP/1.0" 200 2326 

记录 的 各 部 分 说 明 如 下 : 

127.0.0.1 ( %h ) 


这 是 发 送 请 求 到 服务 器 的 客户 的 IP 地 址 。 如 果 HostnameLookups 设 为 on ， 则 服务 器 会 尝试 解 
析 这 个 IP 地 址 的 主机 名 并 替换 此 处 的 IP 地 址 ， 但 并 不 推荐 这 样 做 ， 因 为 它 会 显著 拖 慢 服务 器 ， 
最 好 是 用 一 个 日 志 后 续 处 理 器 来 判断 主机 名 ， 比 如 logresoive 。 如 果 客 户 和 服务 器 之 间 存 在 
代理 ， 那 么 记录 中 的 这 个 IP 地 址 就 是 那个 代理 的 IP 地 址 ， 而 不 是 客户 机 的 真实 IP 地 址 。 


- (%1) 


这 是 由 客户 端 identd 进程 判断 的 RFC1413 身 份 (identity)， 输 出 中 的 符号 "-" 表 示 此 你 的 信息 无 
效 。 除 非 在 严格 控制 的 内 部 网 络 中 ， 此 信息 通常 很 不 可 靠 ， 不 应 该 被 使 用 。 只 有 在 


将 Identitycheck 指使 设 为 on 时 ，Apache 才 会 试图 得 到 这 项 信息 。 
frank ( %u ) 


这 是 HTTP 认 证 系统 得 到 的 访问 该 网 页 的 客户 标识 (userid)， 环 境 变量 REMOTE_USER 会 被 设 为 该 
值 并 提供 给 CGI 脚本 。 如 果 状 态 码 是 401， 表 示 客 户 未 通过 认证 ， 则 此 值 没 有 意义 。 如 果 网 页 
没有 设置 密码 保护 ， 则 此 项 将 是 " - "。 


[10/0ct/2000:13:55:36 -0700] ( %t ) 
这 是 服务 器 完成 请 求 处 理 时 的 时 间 ， 其 格式 是 : 
[日 /月 /年 :时 :分 : 秒 时 区 ] 日 = 2 数字 月 = 3 字母 年 = 4 数字 时 = 2 数字 分 = 2 数字 秒 = 2 数字 时 区 = (- 


可 以 在 格式 字符 串 中 使 用 %{format}t 来 改变 时 间 的 输出 形式 ， 其 中 的 format 与 C 标 准 库 中 
的 strftime() 用 法 相同 。 


"GET /apache pb.gif HTTP/1.0" ( \"%r\" ) 


引号 中 是 客户 端 发 出 的 包含 许多 有 用 信息 的 请 求 行 。 可 以 看 出 ， 该 客户 的 动作 是 cet ， 请 求 
的 资源 是 /apache pb.gif ， 使 用 的 协议 是 HTTP/1.0 。 另外 ， 还 可 以 记录 其 他 信息 ， 如 : 格 
APTE" xm %u%xq %H "会 记录 动作 、 路 径 、 坦 询 字符 串 、 协 议 ， 其 输出 和 " %r "一 样 。 


200 ( %&gt;s ) 


这 是 服务 器 返回 给 客户 端的 状态 码 。 这 个 信息 非常 有 价值 ， 因 为 它 指示 了 请 求 的 结果 ， 或 者 
是 被 成 功 响 应 了 (以 2 开头 )， 或 者 被 重 定向 了 (以 3 开头 )， 或 者 出 错 了 (以 4 开头 )， 或 者 产生 了 服 
务 器 端 错误 (以 5 开头 )。 完 整 的 状态 码 列 表 参 见 HTTP 规 范 (RFC2616 第 10 章 )。 


2326 ( %b ) 


最 后 这 项 是 返回 给 客户 端的 不 包括 响应 头 的 字 节 数 。 如 果 没 有 信息 返回 ， 则 此 项 应 该 
是 " A s wR 25 SB jo eH" 0 "的 形式 ， 就 应 该 用 9B o 


AH DEN Log Format) 


LogFormat "%h %1 96u 96t \"%r\" 9695s 96b \"%{Referer}i\" 
\"%{User -agent}i\"" combined 


CustomLog log/access_log combined 


这 种 格式 与 通用 日 志 格 式 类 似 ， 但 是 多 了 两 个 x header 3i 项 ， 其 中 的 header 可 以 是 任何 
请 求 头 。 这 种 格式 的 记录 形 如 : 


127.0.0.1 - frank [10/0ct/2000:13:55:36 -0700] "GET 
/apache_pb.gif HTTP/1.0" 200 2326 
"http://www.example.com/start.html" "Mozilla/4.08 [en] 
(Win98; I ;Nav)" 


其 中 ， 多 出 来 的 项 是 : 
"http: //www.example.com/start.html" ( \"%{Referer}i\" ) 


"Referer" 请 求 头 。 此 项 指明 了 该 请 求 是 被 从 哪个 网 页 提交 过 来 的 ， 这 个 网 页 应 该 包含 
有 /apache_pb.gif 或 者 其 连接 。 


"Mozilla/4.08 [en] (Win98; I ;Nav)" ( \"%{User-agent}i\" ) 


"User-Agent" 请 求 头 。 此 项 是 客户 端 提供 的 浏览 器 识别 信息 


多 文件 访问 日 志 


可 以 简单 地 在 配置 文件 中 用 多 个 customLog 指令 来 建立 多 文件 访问 日 志 。 如 下 例 ， 既 记录 基 
本 的 CLF 信 息 ， 又 记录 提交 网 页 和 浏览 器 的 信息 ， 最 后 两 行 customLog 示范 了 如 何 模 
拟 ReferLog 和 AgentLog 指 今 的 效果 。 


LogFormat "%h 961 %u %t \"%r\" %>s 96b" common 
CustomLog logs/access log common 
CustomLog logs/referer log "%{Referer}i -> %U" 


CustomLog logs/agent log "%{User-agent}i" 


此 例 也 说 明了 ， 记 录 格 式 可 以 直接 由 customLog 指定 ， 而 并 不 一 定 要 用 LogFormat 起 一 
f. 


条 件 日 志 


许多 时 候 ， 根 据 与 请 求 特征 相关 的 环境 变量 来 有 选择 地 记录 某 些 客户 端 请 求 会 带 来 便利 。 首 
先 ， 需 要 使 用 setenvit 指令 来 设 tp o a c ick, (Am 
用 CustomLog 指使 的 env- 子 句 ， 根据 这 些 环境 变量 来 决定 记录 或 排除 特定 的 请 求 。 例 如 : 


# 不 记录 本 机 发 出 的 请 求 

SetEnvIf Remote Addr "127N.0N.0N.1" dontlog 
# 不 记录 对 robots .txt 文 件 的 请 求 

SetEnvIf Request URI "^/robotsN.txt$" dontlog 
# 记录 其 他 请 求 


CustomLog logs/access log common env=!dontlog 


再 如 ， 将 使 用 英语 的 请 求 记 录 到 一 个 日 志 ， 而 记录 非 英 语 的 请 求 到 另 一 个 日 志 : 


SetEnvIf Accept-Language "en" english 
CustomLog logs/english log common env=english 


CustomLog logs/non english log common env=!english 


虽然 上 述 已 站 经 展示 了 条 件 日 志 记 录 的 强大 和 灵活 ， 但 这 不 是 控制 日 志 容 的 唯一 手段 ， 还 可 
以 用 日 志 后 继 义 理 程 序 来 剔除 你 不 关心 的 内 容 ， 从 而 使 日 志 更 加 有 用 。 


Amik a 


即使 一 个 并 不 繁忙 的 服务 器 ， 其 日 志文 件 的 信息 量 也 会 很 大 ， 一 般 每 10000 个 请 求 ， 访 问 日 志 
就 会 增加 1MB 或 更 多 。 这 就 有 必要 定期 滚动 日 志文 件 。 由 于 Apache 会 保持 日 志文 件 的 打开 ， 
并 持续 写 入 信息 ， 因 此 服务 器 运行 期 间 不 能 执行 滚动 操作 。 移 动 或 者 删除 日 志文 件 以 后 ， 必 


须 重 新 启动 服务 器 才能 让 它 打 开 新 的 日 志文 件 。 


用 优雅 的 (gracefu/) 方 法 重新 启动 ， 可 以 使 服务 器 启用 新 的 日 志文 件 ， 而 不 丢失 原来 尚未 写 入 
的 信息 。 为 此 ， 有 必要 等 待 一 段 时 间 ， 让 服务 器 完成 正在 处 理 的 请 求 ， cq A 
的 日 志文 件 。 以 下 是 一 个 典型 的 日 志 滚 动 和 为 节省 存储 空间 而 压 ` 缩 旧 日 志 的 例子 


mv access log access log.old 
mv error log error log.old 
apachectl graceful 

sleep 600 


gzip access log.old error log.old 


另 一 种 执行 滚动 的 方法 是 使 用 下 一 节 阐述 的 管 道 目 志 。 


管道 日 志 


Apache httpd 可 以 通过 管道 将 访问 记录 和 出 错 信息 传递 给 另 一 个 进程 ， es me 
由 于 无 须 对 主 服 务 器 进行 编程 ， 这 个 功能 显著 地 增强 了 日 志 的 灵活 性 。 只 要 用 管道 操作 

F" | "后 面 跟 一 ee a e 
在 启动 时 ， 会 同时 启动 这 个 管道 日 志 进 程 ， 并 且 在 运行 过 程 中 ， 如 果 这 个 进程 崩溃 了 ， 会 重 
新 启动 这 个 进程 (所 以 我 们 称 这 个 技术 为 "可 靠 管道 日 志 ")。 


管道 日 志 进 程 由 其 父 进程 Apache httpd 产 生 ， 并 继承 其 权限 ， 这 意味 着 管道 进程 通常 是 作为 
root 运 行 的 ， 所 以 保持 这 个 程序 简单 而 安全 极为 重要 。 


日 志 的 一 种 重要 用 途 是 ， 允 许 日 志 滚 动 而 无 须 重 新 启动 服务 器 。 为 此 ， 服 务 器 提供 了 一 
ie Ý rotatelogs o 每 24 小 时 滚动 一 次 日 志 的 例子 如 下 : 


CustomLog "|/usr/local/apache/bin/rotatelogs /var/log/access log 86400" common 
注意 : 引号 用 于 界定 整个 管道 命令 行 。 虽然 这 是 针对 访问 日 志 的 ， 但 是 其 用 法 对 于 其 他 日 志 
也 一 样 。 
在 其 他 站 点 ， 有 一 个 类 似 但 更 灵活 的 日 志 滚 动 程序 叫 cronolog e 


如 果 有 较 简单 的 离线 处 理 日 志 的 方案 ， 就 不 应 该 使 用 条 件 日 志和 管道 日 志 ， 即 使 它们 非常 强 
大 。 


虚拟 主机 


如 果 服 务 器 配 有 若干 虚拟 主机 ， 那 么 还 有 几 个 控制 日 志文 件 的 功能 。 首 先 ， 可 以 把 日 志 指 兮 
放 在 «virtualHost» 段 之 外 ， 让 它们 与 主 服 务 器 使 用 同一 个 访问 日 志和 错误 日 志 来 记录 所 有 的 
请 求 和 错误 ， 但 是 这 样 就 不 能 方便 的 获得 每 个 虚拟 主机 的 信息 了 。 


如 果 把 customLog 或 ErrorLog 指令 放 在 «virtualHost» 段 内 ， 所 有 对 这 个 虚拟 主机 的 请 求 和 
绕 误 信息 会 被 记录 在 其 私有 的 日 志文 件 中 ， 那 些 没有 在 <virtualHost> 段 内 使 用 日 志 指 今 的 虚 
拟 主机 将 仍然 和 主 服 务 器 使 用 同一 个 日 志 。 这 种 方法 对 虚拟 主机 较 少 的 服务 器 很 有 用 ， 但 虚 
拟 主 机 非常 多 时 ， 就 会 带 来 管理 上 的 困难 ， 还 经 常会 产生 文件 描述 符 短缺 的 问题 。 


对 于 访问 日 志 ， 有 一 个 很 好 的 折 囊 方案 ， 在 同一 个 访问 日 志文 件 中 记录 对 所 有 主机 的 访问 ， 
而 每 条 记录 都 注 明 虚拟 主机 的 信息 ， 日 后 再 把 记录 拆 开 存 人 不 同 的 文件 。 例 如 : 


LogFormat "96v 96l 96u 96t \"%r\" %>s 96b" comonvhost 


CustomLog logs/access log comonvhost 


xv 用 来 附加 虚拟 主机 的 信息 。 有 个 split-logfile 程 序 可 以 根据 不 同 的 虚拟 主机 信息 对 日 志 进 行 
拆 分 ， 并 将 结果 存 人 不 同 的 文件 。 


其 他 日 志文 件 


相关 模块 


* mod logio 
* mod log forensic 
* mod_cgi 


* mod rewrite 
相关 指 命 


* LogFormat 

*  ForensicLog 

e PidFile 

* RewriteLog 

*  RewriteLogLevel 
©  ScriptLog 

*  ScriptLogBuffer 


@  ScriptLogLength 


记录 接收 和 发 送 的 实际 字 节 数 


mod logio 增加 了 两 个 额外 的 LogFormat 字段 (%| 和 %O) 用 于 记录 接收 和 发 送 的 实际 字 节 数 。 


xt tbig 3t (Forensic Logging) 


mod_log_forensic HERT xp x Pim RA Abek, tmbigTEHPRKCRUM SEE BUT A P 
后 进行 两 次 记录 ， 所 以 对 比 日 志 (forensic log) 对 于 每 个 请 求 都 包含 两 条 记录 。 对 比 记录 器 
(forensic logger) 十 分 严格 ， 不 可 以 进行 定制 。 它 可 以 成 为 无 价 的 调试 和 安全 工具 。 


PID 文 件 


在 启动 时 ，Apache httpd 将 会 在 1ogs/httpd.pid 文件 中 保存 其 父 进程 httpd 的 进程 ID(process 
id[PID])。 该 文件 名 可 以 用 PidFile 指 命 改变 。 该 PID 可 以 被 管理 员 利 用 来 重新 启动 或 者 终止 
服务 器 后 台 守 护 进程 。 在 Windows 中 ， 可 以 使 用 命令 行 参数 -k 。 更 多 信息 请 参见 停止 和 重新 
启动 。 


脚本 日 志 


为 了 方便 调试 ， 可 以 用 scriptLog 指 合 来 记录 CGI 脚 本 的 输入 和 输出 。 此 功能 应 该 仅 用 于 测 
试 ， 而 不 应 该 用 于 正常 工作 的 服务 器 。 更 多 资料 请 参见 mod_cgi 文 档 。 


重 写 日 志 


在 使 用 强大 且 灵 活 的 mod_rewrite 时 ， 几 乎 都 有 必要 用 RewriteLog 来 帮助 调试 。 这 个 日 志 提 供 
了 重 写 引擎 如 何 转 换 请 求 的 详细 分 解 信 息 ， 其 详细 程度 取决 于 RewriteLogLevel 1H S. 


从 URL 到 文件 系统 的 映射 


本 文 阅 述 Apache 如 何 根 据 URL 地 址 定位 到 文件 在 文件 系统 中 的 位 置 。 


相关 模块 和 指令 


相关 模块 


* mod alias 
* mod proxy 
* mod_rewrite 
* mod_userdir 
* mod speling 


* mod vhost alias 
相关 指令 


* Alias 

e AliasMatch 

*  CheckSpelling 

*  DocumentRoot 

* ErrorDocument 

* Options 

*  ProxyPass 

*  ProxyPassReverse 

*  ProxyPassReverseCookieDomain 
*  ProxyPassReverseCookiePath 
@ Redirect 

@ RedirectMatch 

@ RewriteCond 

* RewriteMatch 

*  ScriptAlias 

*  ScriptAliasMatch 


*  UserDir 


DocumentRoot 


Apache 根 据 请 求 定 位 文件 的 默认 操作 是 : 取出 URL 路 径 ( 即 URL 中 主机 名 和 端口 后 面 的 部 分 ) 
附加 到 由 DocumentRoot 指定 的 文件 系统 路 径 后 面 。 这 样 就 组 成 了 在 网 上 所 看 见 的 基本 文件 树 
结构 。 


如 果 服 务 器 有 多 个 虚拟 主机 ， 则 Apache 会 使 用 下 述 两 种 方法 之 一 : 使 用 每 个 虚拟 主机 自己 
的 DocumentRoot 来 组 成 文件 系统 路 径 ， 或 者 使 用 由 mod vhost alias 提供 的 指令 基于 IP 地 址 或 
主机 名 动态 地 定位 文件 。 


DocumentRoot 以 外 的 文件 


实际 应 用 中 ， 经 常 有 必要 允许 网 络 对 DocumentRoot 以 外 的 文件 进行 访问 。 对 此 ， Apache 提 供 
了 多 种 方法 ， 在 Unix 系 统 中 ， 可 以 在 文件 系统 的 DocumentRoot 目录 下 放置 符号 连接 以 访问 其 
外 部 文件 ， 考 虑 到 安全 问题 ， 这 种 方法 仅 在 相应 目录 的 options 指令 中 设置 


了 FollowSymLinks 或 SymLinksIfOwnerMatch 时 才 有 效 。 


另外 ， 使 用 alias 指令 可 以 将 文件 系统 的 任何 部 分 映射 到 网 络 空间 中 。 例 如 ， 这 个 命令 


Alias /docs /var/web 


可 以 把 URL http://www.example.com/docs/dir/file.html 映射 为 /var/web/dir/file.html 
o ScriptAlias 指 今 功 能 相似 ， 而 且 使 所 有 目标 路 径 下 的 所 有 文件 被 视 为 CGI 脚本 。 


AliasMatch 和 ScriptAliasMatch 指 命 可 以 实现 基于 正则 表达 式 的 匹配 和 替换 ， 以 提供 更 大 的 
灵活 性 。 例 如 : 


ScriptAliasMatch 4/~([a-zA-Z0-9]+)/cgi-bin/(.+) /home/$1/cgi-bin/$2 


上 述 命令 可 以 将 http://example.com/-user/cgi-bin/script.cgi 映射 
到 /home/user/cgi-bin/script.cgi ， 并 视 之 为 CGI 脚本 。 


用 户 目录 


在 Unix 系 统 中 ， 一 个 特定 用 户 "usem 的 主 目录 通常 是 " -user/ "模块 mod_userdir FEMI LIA 
了 这 个 概念 ， 人 允许 使 用 URL 访 问 位 于 各 用 户主 目录 下 的 文件 ， 例 如 : 


http://www.example.com/~user/file.html 


出 于 安全 原因 ， 不 应 该 给 予 网 络 用 户 直 接 操作 主 目录 的 权限 ， 而 应 该 在 用 户主 目录 下 新 建 一 
个 目录 ， 把 网 络 文件 放 在 这 个 新 建 的 目录 中 ， 并 用 userpir 指令 告诉 服务 器 。 缺 省 的 用 户 目 
录 设 置 是 " Userdir public html "， 因 此 ， 上 述 例子 中 的 URL 会 映射 


到 /home/user/public html/file.html ， 其 中 /home/user/ 是 /etc/passwd 指定 的 用 户主 目 
录 。 


当 /etc/passwd 没有 指定 主 目录 ， 那 就 要 用 到 userdir 38 BB A JURE XX. 


有 些 人 觉得 符号 "~"( 时 常会 被 编码 为 %7e ) 很 别扭 ， 希 望 用 其 他 形式 来 表达 用 户 目录 。 虽 然 模 
块 mod_userdir 并 不 支持 ， 但 是 ， 如 果 合 理 规划 服务 器 上 的 用 户 目 录 ， 则 还 是 有 可 能 

用 AliasMatch 指令 来 达到 这 个 目的 。 例 如 ， 如 果 希 望 

将 http://www.example.com/upages/user/file.html 映射 到 /home/user/public html/file.html 
, 可 以 这 样 使 用 AliasMatch ES : 


AliasMatch ^/upages/([a-zA-Z0-9]*)/?(.*) /home/$1/public html/$2 


URL & tA 


上 述 指令 都 指示 Apache 返 回 给 客户 文件 系统 的 某 个 特定 内 容 ， 但 是 有 时 候 ， 需 要 通知 客户 其 
请 求 的 内 容 位 于 其 他 URL， 并 使 客户 产生 新 的 对 其 他 URL 的 请 求 ， 这 种 机 制 称 为 重 定向 
(redirection)， 可 以 用 Redirect 指 邻 实现。 例如 : 如 果 DocumentRoot 的 目录 /foo/ 被 转移 到 
了 /bar/ ， 则 可 以 这 样 引导 客户 访问 新 的 位 置 : 


Redirect permanent /foo/ http://www.example.com/bar/ 


这 个 命令 重 定向 任何 以 /foo/ 开头 的 URL 路 径 到 位 于 同一 个 服务 器 www.example.com 的 /bar/ 
。 当然 ， 可 以 重 定向 到 任何 其 它 服务 器 ， 而 不 仅仅 是 原来 的 那个 。 


Apache 还 提供 了 RedirectMatch 指令 来 解决 复杂 的 重 定向 问题 。 例 如 ， 要 重 定向 对 站 点 主页 
的 请 求 到 其 他 站 点 ， 而 保留 其 他 所 有 请 求 ， 可 以 这 样 配置 : 


RedirectMatch permanent ^/$ http://www.example.com/startpage.html 


另 一 种 方法 是 ， 暂 时 地 重 定向 站 点 的 所 有 页 面 到 一 个 特定 页 面 ， 如 : 


RedirectMatch temp .* http://othersite.example.com/startpage.html 


RERE 


Apache 还 允许 将 远程 文档 纳入 本 地 服务 器 的 网 络 空 间 中 ， 因 为 Web 服 务 器 扮演 一 个 代理 服务 
器 的 角色 (从 远程 服务 器 取得 文档 并 返回 给 客户 )， 所 以 这 种 机 制 被 称 为 反 向 代理 (reverse 
proxying)， 不 同 于 标准 代理 的 是 ， 在 客户 看 来 ， 他 请 求 的 文档 似乎 原本 就 位 于 这 个 反 向 代理 
服务 器 上 。 


下 例 演示 了 当 客 户 请 求 位 于 /foo 目录 下 的 文档 时 ， 服 务 器 
从 internal.example.com 的 /bar/ 目录 下 取 回 文档 并 返回 给 客户 ， 似 乎 文档 原本 就 在 本 地 服 
务 器 上 : 


ProxyPass /foo/ http://internal.example.com/bar/ 
ProxyPassReverse /foo/ http://internal.example.com/bar/ 


ProxyPassReverseCookieDomain internal.example.com public.example.com 
ProxyPassReverseCookiePath /foo/ /bar/ 


ProxyPass 指使 使 服务 器 正确 地 取 回 文档 ， 同时 ， ProxyPassReverse 指令 改变 了 起 始 

F internal.example.com 的 请 求 ， 使 之 指向 本 地 服务 器 上 的 目 Ko 同 

样 ， ProxyPassReverseCookieDomain 和 ProxyPassReverseCookieDomain 指令 将 会 改变 后 端 服 务 
器 设置 的 cookie 。 


需要 注意 的 很 重要 的 一 点 是 ， 被 取 回 的 文档 中 的 连接 是 不 会 被 改写 的 ， 因 此 ， 文 档 中 的 所 有 
绝对 路 径 连 接 会 突破 代理 机 制 而 直接 从 internal.example.com 取得 。 一 个 第 三 方 模 
块 mod_proxy_html 可 以 用 于 重 写 HTML 和 XHTML 连接 。 


URL 重 写 引 擎 


mod rewrite 模块 提供 了 更 强大 的 URL 重 写 引 擎 ， 可 以 根据 请 求 中 诸如 浏览 器 类 型 、 源 IP 地 址 
等 特征 来 决定 最 终 提交 给 客户 的 内 容 ， 还 可 以 使 用 外 部 数据 库 或 程序 来 决定 如 何 处 理 一 个 请 
求 ， 并 可 以 执行 上 述 的 所 有 三 种 映射 : 内 部 重 定向 (aliases)、 外 部 重 定向 、 代 理 。 许 多 实用 程 
序 都 用 到 了 这 个 模块 ， 详 细 论 述 参见 : URL 重 写 指 南 。 


File Not Found 


从 URL 到 文件 系统 的 匹配 失败 是 不 可 避免 的 ， 其 产生 原因 有 多 种 。 有 时 是 文档 被 转移 了 ， 对 
此 最 好 是 用 URL 重 定向 来 引导 用 户 访问 新 的 位 置 ， 这 样 ， 虽 然 资 源 已 经 转移 到 新 的 位 置 ， 但 
是 原来 的 书签 和 连接 仍然 有 效 。 


另 一 种 常见 的 原因 是 浏览 器 地 址 栏 或 者 HTML 连 接 中 的 URL 被 拼写 错 了 ，Apache 提 供 

了 mod speling 模块 来 帮助 解决 这 个 问题 ， 它 会 接管 "File Not Found" 错 误 并 查找 相似 文件 ， 
如 果 找 到 了 唯一 的 一 个 ， 则 会 重 定向 到 这 个 文件 ， 如 果 不 止 一 个 ， 则 会 列 一 张 表 反馈 给 用 
Pe 

mod speling 的 一 个 很 有 用 的 特性 是 ， 它 可 以 忽略 大 小 写 查 找 文件 ， 对 不 注意 URL 大 小 写 的 用 


户 和 unix 文 件 系统 尤为 实用 。 但 是 ， 纠 正 偶 然 的 URL 错 误会 给 服务 器 带 来 额外 的 负担 ， 因 为 每 
次 "不 正确 "的 请 求 都 将 引发 URL 重 定向 和 来 自 客户 的 新 请 求 。 


如 果 所 有 的 努力 都 失败 了 ，Apache 会 返回 一 个 出 错 信 息 页 面 ， 其 状态 码 为 "404"( 文 件 没 找 
到 )， 其 页 面 内 容 取 决 于 Errorpocument 指令 ， 并 可 以 灵活 地 自 定 义 其 形式 ， 详 见 : 自 定义 错 


误 响 应 。 


安全 方面 的 提示 


本 文中 的 提示 和 技巧 有 些 是 针对 网 络 服务 器 的 建立 的 ， 有 些 是 综合 性 的 ， 其 余 的 则 是 针对 
Apache 的 。 


保持 不 断 更 新 和 升级 


Apache HTTP 服 务 器 有 一 个 很 好 的 安全 记录 和 一 个 高 度 关注 安全 问题 的 开发 社团 。 但 是 这 仍 
然 不 能 避免 在 发 行 版 中 存在 或 大 或 小 的 问题 。 所 以 知道 这 个 软件 的 版 本 更 新 和 升级 补丁 是 至 
关 重 要 的 。 如 果 你 是 直接 从 Apache 组 织 得 到 Apache HTTP 服 务 器 的 ， 我 们 强烈 建议 你 订阅 
Apache HTTP 服 务 器 通告 邮件 列表 以 保证 能 够 在 第 一 时 间 得 知 软件 的 版 本 更 新 和 升级 补丁 。 
许多 第 三 方 Apache 软 件 发 行 版 也 有 类 似 的 服务 。 


当然 ，Web 服 务 器 出 现 的 问题 在 绝 大 多 数 时 候 不 是 由 Apache 源 代码 引起 的 ， 而 是 由 附加 的 代 
码 、CGI 脚 本 、 底 层 操 作 系统 引起 的 。 因 此 你 必须 保持 机 器 上 所 有 软件 的 及 时 更 新 。 


ServerRoot 目 录 的 权限 


通常 ，Apache 由 root 用 户 和 启动 ， 在 提供 服务 时 切换 为 由 user 指使 所 指定 的 用 户 。 正 如 root 所 
执行 的 任何 命令 那样 ， 你 必须 保证 serverRoot 下 的 文件 是 受 保护 的 ， 不 允许 非 root 用 户 对 它 
修改 。 不 公文 件 本 身 ， 而 且 目录 及 其 父 目 录 都 必须 只 能 由 root 来 改写 。 例 如 ， 如 果 
4% serverRoot 指定 为 /usr/local/apache ， 则 推荐 以 root 身 份 来 建立 此 目录 ， 如 : 


mkdir /usr/local/apache 
cd /usr/local/apache 
mkdir bin conf logs 
chown © . bin conf logs 
chgrp © . bin conf logs 


chmod 755 . bin conf logs 


这 里 已 经 假定 了 ""，、"/usr"、"/usr/local" 只 能 由 root 来 改写。 在 安装 httpd 可 执行 文件 时 ， 应 该 
确保 它 也 受到 了 同样 的 保护 : 


cp httpd /usr/local/apache/bin 
chown 0 /usr/local/apache/bin/httpd 
chgrp 0 /usr/local/apache/bin/httpd 


chmod 511 /usr/local/apache/bin/httpd 


你 可 以 在 其 中 建立 htdocs 子 目录 ， 该 子 目 录 可 以 允许 其 他 用 户 改写 -- root 不 会 执行 其 中 任何 文 
件 ， 也 不 应 该 在 其 中 建立 文件 。 


如 果 人 允许 非 root 用 户 对 由 root 执 行 或 读 写 的 文件 有 写 权 限 ， 则 会 危及 系统 。 上 比如 ， 别 人 有 可 能 
盖 httpd 可 执行 文件 ， 那 么 下 一 次 启动 时 ， 就 会 执行 恶意 代码 。 如 果 日 志 目录 (对 非 root 

用 户 ) 是 可 写 的 ， 别 人 就 有 可 能 一 个 指向 其 他 敏感 文件 的 连接 来 覆盖 日 志文 件 ， 使 那个 文件 

被 改写 为 厅 乱 的 数据 。 如 果 日 志文 件 本 身 (对 非 root 用 户 ) 是 可 写 的 ， 别 人 就 可 能 伪造 日 志 。 


ARS 3S m CU ER 


服务 器 端 包含 (SSI) 会 带 来 一 些 潜在 的 安全 隐患 。 


首先 是 增加 了 服务 器 的 负载 。Apache 必 须 解 析 所 有 人 允许 SSI 的 文件 ， 而 无 论 其 中 是 否 包含 SS|I 
ED. 虽然 增加 的 负载 较 小 ， 但 是 在 共享 服务 器 环境 中 会 变 得 很 显著 。 


SSI 文 件 与 CGI 脚 本 一 样 存在 风险 。 使 用 "exe ccemd" 元 素 ， 人 允许 SSI 的 文件 可 以 执行 任何 CGI 脚 
本 ， 以 及 由 httpd.conf 设 置 的 执行 Apache 的 用 户 或 组 所 允许 执行 的 任何 程序 。 

有 若干 方法 可 以 在 得 到 SSI 好 多 的 同时 提高 SSI 文 件 的 安全 性 。 

服务 器 管理 员 可 以 使 用 关于 CGI 中 所 描述 的 suexec ， 以 隔离 野蛮 SSI| 文 件 所 造成 的 破坏 。 

对 .html 或 .htm 后 级 的 文件 允许 SSIl 是 危险 的 ， 尤 其 是 在 一 个 共享 的 或 者 高 流量 的 服务 器 环境 


中 。 被 允许 SSI 的 文件 应 该 有 一 个 单独 的 后 级 ， 上 比如 常规 的 .shtml ， 使 服务 器 的 负载 保持 在 最 
低 水 平 ， 并 使 风险 管理 更 容易 。 


另 一 个 方案 是 ， 关 闭 SSI 页 面 执行 脚本 和 程序 的 功能 ， 即 在 用 options 指令 中 ， 
用 Includesnoexec 替换 Includes 。 注 意 ， 用 户 仍然 可 以 使 用 <--#include virtual="..." --> 来 执 
行 位 于 scriptAlias 指 兮 指定 的 目录 中 的 CGI 脚本 。 


关于 CGI 


首先 ， 你 不 得 不 信任 CGI 程序 的 作者 以 及 你 自己 发 现 CGI 中 潜在 安全 漏洞 的 能 力 ， 无 论 这 些 
洞 是 有 预谋 的 或 者 仅仅 是 意外 。CGI 脚 本 可 以 执行 web 服 务 器 用 户 所 允许 执行 的 任意 系统 命 
今 ， 如 果 没有 经 过 仔细 的 检查 ， 这 可 能 是 极其 危险 的 。 


D 


由 于 所 有 CGI 脚本 都 以 相同 的 身份 执行 ， 所 以 可 能 会 和 其 他 脚本 (有 意 或 无 意 地 ) 冲 突 。 比 如 ， 
用 户 A 情 恨 用 户 B， 因 此 他 就 可 能 写 一 个 脚本 去 破坏 用 户 B 的 数据 库 。suEXEC 是 一 个 允许 脚本 
以 不 同 的 身份 运行 的 程序 ， 它 包含 在 Apache1.2 以 后 的 版 本 中 ， 并 被 Apache 服 务 器 代码 中 特 
殊 的 挂钩 所 调用 。 还 有 一 种 常用 的 方法 是 使 用 CGIWrap o 


未 指定 为 脚本 的 CGI 


仅 在 下 列 情况 下 ， 可 以 考虑 允许 用 户 执行 位 于 任意 目录 中 的 CGI 脚本 : 


。 你 绝对 信任 用 户 不 会 写 一 些 有 意 无 意 会 使 系统 遭受 攻击 的 脚本 。 
。 你 认为 安全 因素 与 其 他 因素 相 比 显得 不 那么 重要 ， 存 在 一 两 个 潜在 漏洞 也 无 关 紧 要 。 
。 你 没有 用 户 ， 而 且 没 人 会 来 访问 你 的 服务 器 。 


指定 为 脚本 的 CGI 


把 CGI 集中 在 特定 的 目录 中 ， 并 由 管理 员 决 定 其 中 的 内 容 。 这 样 绝对 比 使 用 不 作为 脚本 的 CGI 
来 得 安全 ， 除 非 对 这 些 目 录 有 写 权 限 的 用 户 被 信任 ， 或 者 管理 员 和 希望 对 每 个 CGI 脚本 /程序 进 
行 潜在 安全 漏洞 测试 。 


大 多 数 站 点 都 选择 这 种 方案 ， 而 不 使 用 未 指定 为 脚本 的 CGI。 


其 他 动态 内 容 的 来 源 


能 入 在 Apache 中 作为 模块 运行 的 脚本 解释 器 ， 比 如 : mod php, mod perl, mod tcl, 

mod python 将 会 使 用 和 Apache 一 样 的 用 户 身份 运行 (参见 user 指令 )， 所 以 被 这 些 模块 执行 
的 脚本 可 能 访问 任何 Apache 服 务 器 能 够 访问 的 对 象 。 一 些 脚 本 引擎 可 能 提供 了 某 些 方 面 的 限 
制 ， 但 是 最 好 在 假定 他 们 并 不 存在 的 前 提 下 做 好 安全 防护 。 


系统 设置 的 保护 


为 了 得 到 真正 严密 的 保护 ， 应 该 禁止 用 户 使 用 可 能 导致 安全 特性 被 覆盖 的 ,htaccess 文件 ， 
方法 是 在 服务 器 配置 文件 中 设置 : 


«Directory /> 
AllowOverride None 


«/Directory» 


使 所 有 目录 无 法 使 用 .htaccess 文件 ， 明 确 指定 可 以 使 用 的 目录 除外 。 


默认 配置 下 服务 器 文件 的 保护 


默认 访问 是 偶尔 会 被 误解 的 Apache 特 性 之 一 。 也 就 是 ， 除 非 你 采取 措施 ， 否 则 ， 如 果 服 务 器 
能 够 通过 标准 URL 映 射 规则 找到 一 个 文件 ， 那 么 就 可 能 把 它 提 供给 客户 端 。 比 如 下 例 : 


# cd /; ln -s / public html 


Accessing http://localhost/-root/ 
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<Directory /> 
Order Deny, Allow 
Deny from all 


</Directory> 


这 样 ， 对 文件 系统 的 默认 访问 被 禁止 。 而 对 需要 访问 的 区 域 ， 可 以 增加 正确 
的 Directory 块 ， 比 如 : 


<Directory /usr/users/*/public html» 
Order Deny,Allow 
Allow from all 
«/Directory» 
<Directory /usr/local/httpd> 
Order Deny, Allow 
Allow from all 


</Directory> 


必须 特别 注意 Location 和 Directory 指 今 的 相互 作用 ， 比如 ， 即使 <Directory /> 拒绝 访 
问 ， «Location /> 指令 仍然 可 能 推翻 其 设置 


还 必须 留意 userdir 指令 ， 此 设置 如 果 类 似 "./"， 则 与 上 述 例子 有 相同 的 风险 。 如 果 你 使 用 的 
是 1.3 或 更 高 版 本 ， 我 们 强烈 建议 在 服务 器 配置 文件 中 包含 以 下 指使 : 


UserDir disabled root 


观察 日 志文 件 


要 了 解 服务 器 上 发 生 了 什么 ， 就 必须 检查 日 志文 件 。 虽 然 日 志文 件 只 是 记录 已 经 发 生 的 事 
件 ， 但 是 它 会 让 你 知道 服务 器 遭受 的 攻击 ， 并 帮助 你 判断 是 否 提 达 到 了 必要 的 安全 等 级 。 


一 些 例 子 : 


grep -c "/jsp/source.jsp?/jsp/ /jsp/source.jsp??" access log 


grep "client denied" error log | tail -n 10 


上 例会 列 出 试图 使 用 Apache Tomcat Source.JSP Malformed Request Information Disclosure 
Vulnerability 的 攻击 次 数 。 下 例会 列 出 最 后 十 个 被 拒绝 的 客户 端 


[Thu Jul 11 17:18:39 2002] [error] [client foo.bar.com] client denied 
by server configuration: /usr/local/apache/htdocs/.htpasswd 


可 见 ， 日 志文 件 只 是 记录 已 经 发 生 的 事件 ， 所 以 ， 如 果 客 户 端 可 以 访问 .htpasswd 文件 ， 而 
且 在 访问 日 志 中 发 现 类 似 如 下 的 记录 : 


foo.bar.com - - [12/Ju1/2002:01:59:13 +0200] "GET /.htpasswd HTTP/1.1" 


这 可 能 表示 服务 器 配置 文件 中 的 下 列 指令 已 经 被 注解 了 : 


«Files ~ "A\.ht"> 
order allow, deny 
Deny from all 


«/Files» 


动态 共享 对 象 (DSO) 支 持 


Apache HTTP 服 务 器 是 一 个 模块 化 的 软件 ， 管 理 员 可 以 通过 选择 服务 器 中 包含 的 模块 进行 功 
能 增 减 。 模 块 可 以 在 编译 时 被 静态 包含 进 httpd 二 进 制 文件 ， 也 可 以 编译 成 独立 于 httpd 二 
进 制 文件 的 动态 共享 对 象 (DSO)。DSO 模 块 可 以 与 服务 器 一 起 编译 ， 也 可 以 用 Apache 扩 展 工 
具 ( apxs ) 单 独 编译 。 


本 文 阅 述 如 何 使 用 DSO 模 块 及 其 工作 原理 。 


KD 

*  LoadModule 
Apache 对 独立 模块 的 DSO 支 持 是 建立 在 只 能 被 静态 编译 进 Apache 核 心 的 mod_so 基础 之 上 
的 ， 这 是 core 以 外 唯一 不 能 作为 DSO 存 在 的 模块 ， 而 其 他 所 有 已 发 布 的 Apache 模 块 ， 都 可 
以 通过 安装 文档 中 阐述 中 的 编译 选项 “--enable-_module_=shared 被 独立 地 编译 成 DSO 并 使 之 


生效 。 一 个 被 编译 为 mod foo.so 的 DSO 模 块 ， 可 以 在 httpd.conf 中 使 
用 mod_so 的 LoadModule HT, TEARS 25 B 动 或 重新 启 动 时 被 加 载 。 


新 提供 的 支持 程序 apxs (<dfn class="calibre27">APache eXtenSion</dfn>) 可 以 在 Apache 源 
代码 树 之 外 编译 基于 DSO 的 模块 ， 从 而 简化 了 Apache DSO 模 块 的 建立 过 程 。 其 原理 很 简 

3 : 安装 Apache 时 ， configure 的 make install 命令 会 安装 Apache C 头 文件 ， 并 把 依赖 于 
特定 平台 的 编译 器 和 连接 器 参数 传 给 apxs 程序 ， 使 用 户 可 以 脱离 Apache 的 发 布 源 代 码 树 编 
译 其 模块 源 代 码 ， 而 不 改变 支持 DSO 的 编译 器 和 连接 器 的 参数 。 


用 法 概要 


Apache2.0 的 DSO 功 能 简要 说 明 : 


1. 编译 并 安装 已 发 布 的 Apache 模 块 ， 比如 编译 mod foo.c 为 mod foo.so 的 DSO 模 块 : 


$ ./configure --prefix-/path/to/install --enable-foo-shared 


$ make install 


2. 编译 并 安装 第 三 方 模块 ， 上 比如 编译 mod foo.c Jj mod foo.so 的 DSO 模 块 : 


$ ./configure --add-module-module type:/path/to/3rdparty/mod foo.c --enable-foo=shar 


$ make install 








‘| 





3， 配 置 Apache 以 便 以 后 安装 共享 模块 : 


$ ./configure --enable-so 


$ make install 


4. FA apxs 在 Apache 源 码 树 以 外 编译 并 安装 第 三 方 模块 ， 比 如 编 
译 mod foo.c 为 mod foo.so 的 DSO 模 块 : 


$ cd /path/to/3rdparty 
$ apxs -c mod foo.c 


$ apxs -i -a -n foo mod foo.la 


共享 模块 编译 完毕 后 ， 必 须 在 httpd.conf 中 用 Loadwodule 指令 使 Apache 启用 该 模块 。 


背景 知 i T4 


现代 的 类 Unix 系 统 都 有 一 种 叫 动态 共享 对 象 (DSO) 的 动态 连接 /加 载 的 巧妙 的 机 制 ， 从 而 可 以 
在 运行 时 将 编译 成 特殊 格式 的 代码 加 载 到 一 个 可 执行 程序 的 地 址 空间 。 


加 载 的 方法 通常 有 两 种 : 其 一 是 在 可 执行 文件 启动 时 由 系统 程序 1d.so 自动 加 载 ; 其 二 是 在 
可 执行 程序 中 手动 地 通过 Unix 加 载 器 的 系统 接口 执行 系统 调用 dlopen()/disym() 进行 加 载 。 


按 第 一 种 方法 ，DSO 通 常 被 称 为 共享 库 (shared libraries) 或 者 DSO 库 (DSO libraries)， 使 

ii libfoo.so 或 libfoo.so.1.2 的 文件 名 ， TEMETERIEELRCPGSTS TE /usr/lib )， 并 在 编译 安 
装 时 使 用 连接 器 参数 -Ifoo 建立 了 指向 可 执行 程序 的 连接 。 通 过 设置 连接 器 参数 -R 或 者 

环境 变量 LD_LIBRARY_PATH ， 库 中 硬 编码 了 可 执行 文件 的 路 径 ， 使 Unix 加 载 器 能 够 在 可 执行 程 

序 和 启动 时 定位 到 位 于 /usr/lib 目录 中 的 libfoo.so ， 以 解析 可 执行 文件 中 尚未 解析 的 位 于 

DSO 中 的 符号 。 


通常 ，DSO 不 会 引用 可 执行 文件 中 的 符号 (因为 它 是 通用 代码 的 可 重用 库 )， 也 不 会 有 后 继 的 解 
析 动 作 。 可 执行 文件 无 须 自己 作 任 何 动作 以 使 用 DSO 中 的 符号 ， 而 完全 由 Unix 加 载 器 代办 ( 事 
实 上 ， 调 用 1d.so 的 代码 是 被 连 入 每 个 可 执行 文件 的 非 静 态 运 行 时 启动 代码 的 一 部 分 )。 动 态 
加 载 公 共 库 代码 的 优点 是 明显 的 : 只 需要 在 系统 库 libc.so 中 存储 一 次 库 代 码 ， 从 而 为 每 个 

程序 节省 了 磁盘 存储 空间 。 


按 第 二 种 方法 ，DSO 通 常 被 称 为 共享 对 象 (shared objects) 或 DSO 文 件 (DSO files)， 可 以 使 用 
任何 文件 名 (但 是 规范 的 名 称 是 foo.so )， 被 存储 在 程序 特定 的 目录 中 ， 也 不 会 自动 建立 指向 
其 所 用 的 可 执行 文件 的 连接 ， 而 由 可 执行 文件 在 运行 时 自己 调用 dlopen() 来 加 载 DSO 到 其 地 
址 空间 ， 同 时 也 不 会 进行 为 可 执行 文件 解析 DSO 中 符号 的 操作 。Unix 加 载 器 会 根据 可 执行 程 
序 的 输出 符号 表 和 已 经 加 载 的 DSO 库 自动 解析 DSO 中 尚未 解析 的 符号 (尤其 是 无 所 不 在 

的 libc.so 中 的 符号 )， 如 此 DSO 就 获得 了 可 执行 程序 的 符号 信息 ， 就 好 象 是 被 静态 连接 一 
样 。 


最 后 ， 为 了 利用 DSO API 的 优点 ， 可 执行 程序 必须 用 disym() 解析 DSO 中 的 符号 ， 以 各 稍 后 
在 诸如 指派 表 等 等 中 使 用 。 也 就 是 说 ， 可 执行 程序 必须 自己 解析 其 所 需 的 符号 。 这 种 机 制 的 
优点 是 允许 不 加 载 可 选 的 程序 部 件 ， 直 到 程序 需要 的 时 候 才 被 动态 地 加 载 (也 就 不 需要 内 存 开 
销 )， 以 扩展 程序 的 功能 。 


虽然 这 种 DSO 机 制 看 似 很 直接 ， 但 至 少 有 一 个 难点 ， 就 是 在 用 DSO 扩 展 程 序 功能 (第 二 种 方 
法 ) 时 为 DSO 对 可 执行 程序 中 符号 的 进行 解析 ， 这 是 因为 ，" 反 向 解析 "可 执行 程序 中 的 DSO 符 
号 在 所 有 标准 平台 上 和 与 库 的 设计 都 是 矛盾 的 ( 库 不 会 知道 什么 程序 会 使 用 它 )。 实 际 应 用 中 ， 可 
执行 文件 中 的 全 局 符号 通常 不 是 重 输出 的 ， 因 此 不 能 为 DSO 所 用 。 所 以 在 运行 时 用 DSO 来 扩 
展 程 序 功能 ， 就 必须 找到 强制 连接 器 输出 所 有 全 局 符号 的 方法 。 

共享 库 是 一 种 典型 的 解决 方法 ， 因 为 它 符合 DSO 机 制 ， 而 且 为 操作 系统 所 提供 的 几乎 所 有 类 
型 的 库 所 使 用 。 另 一 方面 ， 使 用 共享 对 象 并 不 是 许多 程序 为 扩展 其 功能 所 采用 的 方法 。 
截止 到 1998 年 ， 只 有 少数 的 软件 包 使 用 DSO 机 制 在 运行 时 扩展 其 功能 ， 诸 如 Perl 5( 通 过 其 
XS 机 制 和 DynaLoader 模 块 )，Netscape Server 等 。 从 1.3 版 本 开始 ，Apache 也 加 入 此 列 ， 
为 Apache 已 经 用 了 基于 指派 表 (dispatch-list-based) 的 方法 来 连接 外 部 模块 到 Apache 的 核心 。 


所 以 Apache 也 就 当然 地 在 运行 时 用 DSO 来 加 载 其 模块 。 
优点 和 缺点 
上 述 基于 DSO 的 功能 有 如 下 优点 : 


° 由 于 服务 器 包 的 装配 工作 可 以 在 运行 时 使 用 httpd.conf 中 的 配置 命令 LoadModule 来 进 
行 ， 而 不 是 在 编译 中 使 用 编译 选项 来 进行 ， 因 此 显得 更 灵活 。 上 比如 ， 只 需要 安装 一 个 
Apache， 就 可 以 运行 多 个 不 同 的 服务 器 实例 (如 标准 &SSL 版 本 ， 浓 缩 & 功 能 加 强 版 本 
[mod perl. PHP]). 

服务 器 可 以 在 安装 后 使 用 第 三 方 模块 被 轻易 地 扩展 。 这 至 少 对 厂商 发 行 包 的 维护 者 有 巨 
大 的 好 处 ， 他 可 以 建立 一 个 Apache 核 心包 ， 而 为 诸如 PHP、mod_perl、mod_fastcgi 等 
扩展 另 建 附加 的 包 。 

更 简单 的 Apache 模 块 原型 。 使 用 DSO 配 合 apxs ， 可 以 脱离 Apache 源 代码 树 ， 仅 需要 一 
个 apxs -i 和 一 个 apachectl restart DD, 就 可 以 把 刚 开发 的 新 模块 纳入 到 运行 中 的 
Apache 服 务 器 。 


DSO 有 如 下 缺点 : 


由 于 并 不 是 所 有 操作 系统 都 支持 动态 加 载 代 码 到 一 个 程序 的 地 址 空间 ， 因 此 DSO 机 制 并 
不 能 用 于 所 有 平台 。 

由 于 Unix 加 载 器 必须 进行 符号 解析 ， 服 务 器 的 和 启动 会 慢 20% 左 右 。 

在 某 些 平台 上 ， 位 置 独立 代码 (positon independent code[PIC]) 需 要 复 条 的 汇编 语言 技巧 
来 实现 相对 寻 址 ， 而 绝对 寻 址 则 不 需要 ， 因 此 服务 器 在 运行 时 会 慢 5% 左 右 。 

由 于 DSO 模 块 不 能 在 所 有 平台 上 被 其 他 基于 DSO 的 库 所 连接 ( 1d -1foo )， 上 比如 ， 基 于 
a.out 的 平台 通常 不 提供 此 功能 ， 而 基于 ELF 的 平台 则 提供 ， 因 此 DSO 机 制 并 不 能 被 用 于 
所 有 类 型 的 模块 。 或 者 可 以 这 样 说 ， 编 译 为 DSO 文 件 的 模块 只 能 使 用 由 Apache 核 心 、C 
库 ( libc ) 和 Apache 核 心 所 用 的 所 有 其 他 动态 或 静态 的 库 、 含 有 独立 位 置 代码 的 静态 库 
( libfoo.a ) 所 提供 的 符号 。 而 要 使 用 其 他 代码 ， 就 只 能 确保 Apache 核 心 本 身 包含 对 此 代 
码 的 引用 ， 或 者 自己 用 dlopen() 来 加 载 此 代码 。 


内 容 协商 


Apache 支 持 HTTP/1.1 规 范 中 定义 的 内 容 协 商 ， 它 可 以 根据 浏览 器 提供 的 参数 选择 一 个 资源 最 
合适 的 媒体 类 型 、 语 言 、 字 符 集 和 编码 的 表现 方式 。 它 还 实现 了 一 些 对 浏览 器 发 送 不 完整 内 
容 协 商 信息 进行 智能 义理 的 能 力 。 


内 容 协 商 由 mod_negotiation 模块 支持 ， 并 被 默认 编译 进 服 务 器 。 


关于 内 容 协 商 (Content Negotiation) 


人 资源 可 能 会 有 多 种 不 同 的 表现 形式 ， 比 如 ， 可 能 会 有 不 同 语言 或 者 媒体 类 型 的 版 本 甚至 
其 组 合 。 最 常用 用 的 选择 方法 是 提供 一 个 索引 页 以 供 选择 。 但 是 由 于 浏览 器 可 以 在 请 求 头 信息 
供 其 首选 项 的 表现 形式 ， 因 此 就 有 可 能 让 服务 器 进行 自动 选择 。 比 如 ， 浏 览 器 可 以 表明 
希望 看 见 法 语 的 信息 ， 如 果 没 有 ， 英 语 的 也 行 。 如 需 仅 请 求法 语 的 表现 形式 ， 浏 览 器 可 以 发 


Accept-Language: fr 


注意 : EE E US TEES TI AEREN AER 


下 面 是 一 个 更 复杂 的 请 求 ， 浏 览 器 表明 ， 可 以 接受 法 语 和 英语 ， 但 最 好 是 法 语 ; 接受 各 种 媒 
体 类 型 ， 最 好 是 HTML， 但 纯 文件 或 其 他 文本 类 型 也 可 以 ; 最 好 是 GIF 或 JPEG， 但 其 他 媒体 
类 型 也 可 以 ， 并 人 允许 其 他 媒体 类 型 作为 最 终 表 现形 式 : 


Accept-Language: fr; q-1.0, en; q=0.5 


Accept: text/html; q-1.0, text/*; q-0.8, image/gif; q=0.6, image/jpeg; q=0.6, image/*; 
Eee 
Apache 支 持 HTTP/1.1 规 范 中 定义 的 "服务 器 驱动 "的 内 容 协 商 ， 可 以 完全 地 支 


持 Accept 、 Accept-Language 、 Accept-Charset 、 Accept-Encoding 请 求 头 ， 这 
RFC2295 和 RFC2296 中 定义 的 实验 协商 协议 ， 但 是 不 支持 这 些 RFC 中 定义 的 "功能 协商 "。 





些 是 


资源 (resource) 是 一 个 在 URI(RFC2396) 中 定义 的 概念 上 的 实体 。 一 个 HTTP 服 务 器 ， 上 比如 
Apache， 以 表现 形式 (representation) 提 供 对 其 名 称 空间 中 资源 的 访问 ， 各 种 表现 形式 由 已 
定义 的 媒体 类 型 、 字 符 集 和 编码 的 字 节 流 构成 。 任 何 一 个 特定 的 时 刻 ， 一 个 资源 可 以 没有 ， 
或 者 有 一 个 ， 或 者 有 多 个 表现 形式 。 如 果 有 多 个 表现 形式 存在 ， 则 称 该 资源 是 可 协商 的 
(negotiable)， 其 各 种 表现 形式 称 为 变种 (variant)。 而 一 个 可 协商 的 资源 的 各 种 变种 的 区 别 途 
径 称 为 变 元 (dimension)。 


Apache 中 的 内 容 协 商 


可 以 使 用 下 述 两 种 途径 之 一 向 服务 器 提供 有 关 各 变种 的 信息 ， 以 实现 对 资源 的 协商 : 


e 使 用 类 型 表 (也 就 是 一 个 *.var 文件 ) 明 确 指定 各 变种 的 文件 名 。 
。 使 用 "MultiViews" 搜 索 ， 即 服务 器 执行 一 个 隐 含 的 文件 名 模式 匹配 ， 并 在 其 结果 中 选择 。 


使 用 类 型 表 文 件 


类 型 表 是 一 个 与 type-map 处 理 器 关联 的 文档 (或 者 兼容 早期 Apache 配 置 的 MIME 类 
型 ; application/x-type-map )。 要 使 用 这 个 功能 ， 必 须 在 配置 中 建立 处 理 器 ， 以 定义 一 个 文 
件 后 级 为 type-map ， 最 好 的 方法 是 在 配置 文件 中 这 样 设置 : 


AddHandler type-map .var 


类 型 表 文 件 应 该 与 所 描述 的 资源 同名 ， 且 对 每 个 有 效 变种 都 有 一 个 块 (entry)， 每 个 块 由 若干 连 
续 的 HTTP 头 行 组 成 ， 不 同 变种 的 块 用 空 行 分 开 ， 块 中 不 允许 有 空 行 。 习 惯 上 ， 类 型 表 都 以 一 
个 描述 总 体 性 质 的 组 合 块 作为 开始 (这 不 是 必须 的 ， 如 果 有 也 会 被 忽略 )。 下 例 是 一 个 描述 资 
源 foo 的 命名 为 foo.var 的 类 型 表 文 件 : 


URI: foo 

URI: foo.en.html 

Content-type: text/html 

Content-language: en 

URI: foo.fr.de.html 

Content-type: text/html; charset=iso-8859-2 


Content-language: fr, de 


注意 : 即使 业 Multiviews 设置 为 on ， 类 型 表 仍 然 优 先 于 文件 后 级 名 。 如 果 不 同 的 变种 具有 
不 同 的 资源 品质 ， 就 可 以 对 媒体 类 型 使 用 "qs" 参 数 来 表示 这 种 不 同 。 下 例 演示 了 一 个 图 片 的 
jpeg, gif, ASCll-art 三 个 有 效 变种 : 


URI: foo 

URI: foo.jpeg 

Content-type: image/jpeg; qs-0.8 
URI: foo.gif 

Content-type: image/gif; qs-0.5 
URI: foo.txt 


Content-type: text/plain; qs-0.01 


dqs 的 取 值 范围 是 0.000 到 1.000， 取 值 为 0.000 的 变种 永远 不 会 被 选择 ， 没 有 指定 qs 值 的 变种 其 
qs 值 为 1.0。qs 值 表示 一 个 变种 相对 于 其 他 变种 的 "品质 "， 比 如 在 表现 一 张 照片 时 ，jpeg 通 常 
比 字符 构图 有 更 高 的 品质 ; 而 如 果 要 表现 的 本 来 就 是 一 个 ASCll-art ， 那 么 当然 字符 构图 就 会 
比 jpeg 文 件 有 更 高 的 品质 。 因 此 ，qs 的 值 取 决 于 变种 所 表现 的 资源 本 身 。 


mod_negotation 类 型 表 文档 中 有 完整 的 HTTP 头 的 列表 。 


Multiviews 


Multiviews 是 一 个 针对 每 个 目录 的 选项 ， 也 就 是 说 可 以 在 httpd.conf 或 .htaccess (如 果 正 
确 设置 了 Allowoverride ) 文 件 中 的 <pirectory> 、 «Location» 、 <Files> 配置 段 中 ， 
用 options 指令 来 指定 。 注 意 ， options All 并 不 会 设置 multiviews ， 你 必须 明确 地 指定 。 


MultiViews 的 效果 是 : 如 果 服 务 器 收 到 对 /some/dir/foo 的 请 求 ， 而 /some/dir/foo 并 不 存 

在 ， 但 是 如 果 /some/dir 启用 了 Multiviews ， 则 服务 器 会 查找 这 个 目录 下 所 有 的 foo. ME, 
并 有 效 地 伪造 一 个 说 明 这 些 foo. 文件 的 类 型 表 ， 分 配给 他 们 相同 的 媒体 类 型 及 内 容 编 码 ， 并 
选择 其 中 最 合适 的 匹配 返回 给 客户 。 


MultiViews 还 可 以 在 服务 器 检索 一 个 目录 时 ， 用 于 DirectoryIndex 指令 搜索 的 文件 名 。 如 果 
RET: 


DirectoryIndex index 


而 index.html 和 index.htm13 并 存 ， 则 服务 器 会 作 一 个 权衡 ; 如 果 都 没有 ， 但 是 
有 index.cgi ， 则 服务 器 会 执行 它 。 


如 果 一 个 目录 中 没有 任何 文件 具有 mod_mime 可 以 识别 的 表示 其 字符 集 、 内 容 类 型 、 语 言 和 编 
码 的 后 级 ， 那 么 其 结果 将 取决 于 MultiviewsMatch 指令 的 设置 ， 这 个 指令 决定 了 在 MultiViews 
协商 中 将 使 用 的 义理 器 、 过 滤器 和 其 他 后 级 类 型 。 


协商 的 方法 


Apache 从 一 个 类 型 表 或 者 某 个 目录 的 文件 名 中 得 到 一 个 资源 变种 列表 以 后 ， 会 使 用 两 种 方法 
之 一 选择 可 能 的 "最 佳 " 变 种 返回 给 客户 。 使 用 Apache 的 内 容 协商 功能 并 不 需要 了 解 其 细节 ， 
以 下 文档 对 这 些 方法 加 以 详细 说 明 ， 供 有 兴趣 的 人 看 看 。 


协商 有 两 种 方法 : 


1. 使 用 Apache 算 法 的 服务 器 驱动 协商 是 通常 情况 下 的 默认 方法 。 使 用 这 个 算法 (下 面 有 详 
细 的 描述 )， 为 了 得 到 更 好 的 效果 ，Apache 有 时 会 " 打 乱 "一 个 特定 变 元 (dimension) 的 品质 
AF, ROARS ww. 

2， 透 明 内 容 协商 仅 当 浏览 器 明确 地 用 RFC2295 中 定义 的 机 制 发 出 请 求 时 才 使 用 。 这 种 方法 
可 以 给 予 浏 览 器 对 "最 佳 " 变 种 选择 的 完全 控制 ， 因 此 其 效果 也 取决 于 浏览 器 使 用 的 算法 。 


作为 透明 协商 过 程 的 一 部 分 ， 浏 览 器 可 以 要 求 Apache 执 行 RFC2296 中 定义 的 "远程 变种 
选择 算法 "。 


协商 的 变 元 (Dimension) 


变 元 说 明 


媒体 ”浏览 器 在 Accept 头 中 指明 首选 项 ， 其 中 各 项 与 品质 因子 关联 ， 变 种 描述 也 可 以 
类 型 ” 有 品质 因子 (参数 "qs")。 


= 浏览 器 在 Accept-Language 头 中 指明 首选 项 ， 其 中 各 项 与 品质 因子 关联 ， 变 种 可 
C 以 与 需 个 、 一 个 或 多 个 语言 关联 。 


编码 浏览 器 在 Accept-Encoding 头 中 指明 首选 项 ， 其 中 各 项 与 品质 因子 关联 。 


字符 浏览 器 在 Accept-Charset 头 中 指明 首选 项 ， 其 中 各 项 与 品质 因子 关联 ， 变 种 可 以 
集 指定 一 个 字符 集 作 为 媒体 类 型 的 一 个 参数 。 


Apache 协 商 算 法 
Apache 使 用 下 述 算法 选择 可 能 的 "最 佳 " 变 种 返回 给 浏览 器 。 此 算法 不 能 被 再 配置 过 程 如 
T: 


1.， 首先 ， 对 每 个 协商 变 元 ， 检 查 其 适当 的 Accept* 头 ， 并 对 每 个 变种 指定 一 个 品质 。 如 果 一 
个 变 元 的 Accept* 3-18 示 不 接受 这 个 变种 ， 则 被 剔除 。 如 果 最 终 没有 变种 了 ， 则 转 到 步骤 
4。 

2， 顺 序 执行 以 下 的 测试 ， 使 用 逐步 剔除 的 方法 来 选择 "最 佳 "变种 。 不 能 通过 测试 的 变种 将 被 
剔除 。 每 个 测试 完成 后 ， 如 果 人 入 剩 一 个 变种 ， 则 作为 最 佳 匹配 ， 转 到 步骤 3 ; 如 果 多 于 一 
个 ， 则 继续 下 一 个 测试 。 

. 将 Accept. 头 的 品质 因子 乘 以 该 变种 媒体 类 型 的 还 原 品 质 因 子 ， 选 择 乘积 最 高 者 。 

ii 选择 语言 品质 因子 最 高 的 变种 。 

iii. {FA Accept-Language 头 中 的 语言 顺序 (如 果 存 在 的 话 )， 或 者 使 
用 LanguagePriority 指令 中 的 语言 顺序 (如 果 存 在 的 话 ) 选 择 最 匹配 的 语言 。 

iv. 选择 最 高 "等 级 "媒体 参数 的 变种 (用 以 确定 text/html 的 媒体 类 型 )。 

V. 选择 Accept-Charset 头 中 指 定 的 最 佳 字 符 集 媒 体 参 数 的 变种 。 如 果 没 有 明确 指定 ， 
则 使 用 ISO-8859-1 字 符 集 。 具 有 text/* 媒体 类 型 而 没有 明确 地 与 一 个 特定 字符 集 
关联 的 变种 ， 将 使 用 ISO-8859-1。 

vi. 选择 与 之 关联 字符 集 不 是 _ISO-8859-1 的 变种 ， 如 果 没有 这 样 的 变种 ， 则 选择 所 有 

的 变种 。 

选择 最 佳 编码 的 变种 。 如 果 存 在 用 户 代理 可 以 接受 的 编码 的 变种 ， 则 选择 之 ; 

则 ， 如 果 存 在 混合 编码 的 或 者 未 编码 的 变种 ， 则 选择 未 编码 的 变种 。 如 果 所 有 的 刘 

种 都 是 编码 的 ， 或 者 所 有 变种 都 是 未 编码 的 ， 则 选择 所 有 的 变种 。 

vii. 选择 内 容 长 度 最 小 的 变种 。 

x， 选择 剩余 变种 的 最 前 一 个 ， 这 个 变种 或 是 类 型 表 文 件 中 的 第 一 个 ， 或 从 目录 中 读 取 


vii. 


变种 被 时 ， 以 ASCII 编 码 顺序 的 第 一 个 文件 。 
3. 这 时 ， 此 算法 已 经 选择 了 一 个 "最 佳 " 变 种 ， 并 将 之 返回 作为 响应 。HTTP 响 应 头 
的 vary 会 指明 协商 的 变 元 (浏览 器 和 缓存 可 以 利用 此 信息 缓存 该 资源 )。 
4.， 如 果 没 有 一 个 变种 被 选择 (因为 没有 一 种 可 以 被 浏览 器 接受 )， 则 返回 一 个 状态 值 为 406 响 
应 体 ， 并 包含 一 个 HTML 格 式 的 有 效 变 种 列表 ， 同 样 ， 在 HTTP 头 的 vary 中 指明 了 变种 
的 变 元 。 


打 乱 品质 值 


Apache 有 时 会 改变 按照 Apache 协 商 算法 点 该 被 严格 解析 的 品质 值 ， 从 而 在 浏览 器 没有 发 送 完 
整 的 精确 的 信息 时 获得 更 好 的 效果 。 有 些 很 常用 的 浏览 器 在 许多 情况 下 ， 会 发 送 导 致 变种 选 
择 错误 的 Accept 头 信 息 。 如 果 一 个 浏览 器 发 送 了 完整 的 且 正 确 的 信息 ， 则 不 会 有 打 乱 操作 。 


媒体 类 型 与 通配符 


Accept: 请 求 头 指明 了 媒体 类 型 的 首选 项 ， 也 可 以 包含 " 通 配 "媒体 类 型 ， 如 "image/"” 和 匹配 任 
何 字 符 串 的 ”W"。 所 以 ， 如 果 一 个 请 求 包含 : 


Accept: image/*, */* 
会 指明 可 以 接受 任何 以 "image" 开 头 的 类 型 ， 和 其 他 任何 类 型 (因而 前 面 的 "image/*" 就 是 多 余 
的 )。 有 些 浏览 器 就 会 这 样 例行公事 地 在 明确 指定 允许 的 类 型 后 面 附 加 通 配 类 型 ， 比 如 : 
Accept: text/html, text/plain, image/gif, image/jpeg, */* 
其 目的 是 表明 ， 明 确 列 出 的 是 首选 项 ， 其 他 不 同 的 表现 也 可 以 。 这 种 用 法 不 是 不 可 以 ， 但 


是 /其实 可 以 通 配 所 有 其 他 类 型 ， 所 以 不 推荐 这 样 用 ， 而 应 该 对 "." 赋 予 一 个 较 低 的 品质 (首选 ) 
值 0.01， 如 : 


Accept: text/html, text/plain, image/gif, image/jpeg, */*; q-0.01 
明确 指定 的 类 型 没有 品质 值 ， 所 以 其 品质 值 是 默认 的 最 高 值 1.0， 而 '"/ 是 较 低 的 0.01， 所 以 ， 
只 有 在 没有 匹配 明确 指定 类 型 的 变种 时 ， 才 会 返回 其 他 类 型 。 


如 果 Accept: 头 没 有 指定 任何 q 因 子 ， 那 么 Apache 设 置 "的 q 值 为 0.01 来 模拟 上 述 推荐 的 行 
为 ， 还 会 设置 "type/" 的 9 值 为 0.02， 使 之 优先 于 "*"。 如 果 Accept: 头 中 任何 媒体 类 型 指定 了 q 
因子 ， 则 不 会 使 用 这 些 特殊 值 ， 以 使 正确 发 送信 息 的 浏览 器 能 正常 运作 。 


语言 协商 的 例外 


在 Apache 2.0 中 的 协商 算法 中 ， 新 增 了 一 些 例 外 的 规则 ， 以 允许 在 语言 协商 匹配 失败 的 情况 
下 ， 作 巧妙 的 妥协 。 


通常 ， 当 客户 端 向 服务 器 请 求 一 个 不 能 与 浏览 器 Accept-language 所 匹配 的 唯一 的 页 面 时 ， 服 
务 器 会 返回 一 个 "No Acceptable Variant" 或 者 "Multiple Choices" 响应 。 但 是 ， 有 可 能 通过 配 
置 Apache， 忽 略 这 些 情况 下 的 Accept-language ， 而 返回 一 个 不 是 非常 匹配 客户 请 求 的 文 
本 ， 以 避免 这 些 错误 信息 的 出 现 。 ForceLanguagePriority jE 45 n] EA BR AIX 两 种 错误 信息 ， 并 
接管 由 LanguagePriority 指 邻 控 制 的 服务 器 裁定 机 制 。 


服务 器 还 会 在 匹配 失败 时 尝试 用 语言 子 集 来 匹配 。 例 如 ， 如 果 一 个 客户 请 求 了 一 个 语言 

是 en-GB 的 英国 英语 的 页 面 ， 而 服务 器 只 支持 HTTP/1.1 标 准 的 简单 的 en 。( 注 意 ， 

在 Accept-Language 中 指定 en-e 而 不 是 en 几乎 绝对 是 个 错误 ， 因 为 它 似乎 暗示 阅读 的 人 懂 
英国 英语 却 不 懂 大 众 英语 。 而 不 幸 的 是 ， 许 多 流行 的 客户 端的 默认 配置 却 是 这 样 的 )。 如 果 没 
有 可 以 匹配 的 语言 ， 服 务 器 将 会 忽略 其 语言 子 集 的 设 定 ， 返 回 "No Acceptable Variants" 错 
误 ， 或 者 按 LanguagePriority 指 合作 妥协 。Apache 会 隐 含 地 在 客户 可 接受 语言 的 列表 中 附加 
一 个 具有 很 低 品 质 值 的 父 语言 ， 但 是 ， 如 果 客 户 请 求 "en-GB; q=0.9, fr; q=0.8" 那么 将 返 

回 "fr" 的 文本 ， 这 对 遵循 HTTP/1.1 标 准 以 使 正确 配置 的 浏览 器 能 正常 工作 是 必须 的 。 


为 了 支持 用 于 确定 用 户 首选 语言 的 高 级 技术 (比如 cookies 或 特殊 的 URL 路 径 )， 从 2.0.47 版 本 
起 mod negotiation 模块 开始 支持 prefer-language 环境 变量 ` 模 块 将 会 尝试 选 择 一 个 匹配 的 变 
种 。 如 果 不 存在 这 样 的 变种 ， 将 会 使 用 上 述 通常 的 协商 过 程 。 


示例 


SetEnvIf Cookie "language=(.+)" prefer-language-$1 


透明 内 容 协商 的 扩展 


Apache 在 变种 列表 中 使 用 了 一 个 新 的 {encoding ..) 元 素来 标记 变种 ， 从 而 扩展 了 透明 内 容 
协商 协议 (RFC2295)。 实 现 RVSA/1.0 算 法 (RFC2296) 的 目的 是 识别 列表 中 被 编码 的 变种 ， 作 
为 可 以 被 Accept-Encoding 请 求 头 接受 的 候选 变种 。 在 选择 最 佳 变 种 之 前 ，RVSA/1.0 的 实现 
会 对 品质 因子 作 四 舍 五 入 的 运算 。 


超 链 和 名 称 转换 说 明 
如 果 使 用 语言 协商 ， 由 于 文件 可 以 有 不 止 一 个 后 经， 因此 就 可 以 选择 不 同 的 名 称 转换 ， 其 后 
级 顺序 通常 是 无 关 紧 要 的 (参见 mod_mime 文 档 )。 


一 个 典型 的 有 MIME 类 型 后 级 的 文件 (如 htm )， 其 后 级 可 以 是 编码 后 级 (如 gz )， 也 可 以 是 语 
EE RB en ) 


例如 : 


e foo.en.html 
e foo.html.en 
e foo.en.html.gz 


文件 名 和 有 效 及 无 效 超 链 的 例子 : 


文件 名 有 效 超 链 无 效 超 链 
foo.html.en foo foo.html - 
foo.en.html foo foo.html 
foo.html.en.gz foo foo.html foo.gz foo.html.gz 
foo.en.html.gz foo foo.html foo.html.gz foo.gz 
foo.gz.html.en foo foo.gz foo.gz.html foo.html 
foo.html.gz.en foo foo.html foo.html.gz foo.gz 


可 以 看 出 ， 上 表 中 使 用 没有 任何 后 级 的 超 链 (如 foo ) 总 是 可 行 的 ， 其 优点 是 可 以 隐藏 rsp. 文件 
的 真实 类 型 ， 而 可 以 在 将 来 作 更 改 ， 上 比如 ， 不 用 修改 超 链 本 身 ， 而 改 
变 html 为 shtml 或 cgi 。 


如 果 希 望 在 超 链 中 继续 使 用 MIME 类 型 (如 foo.html )， 则 语言 后 级 (还 包 插 一 个 编码 后 级 ) 必 须 
出 现在 MIME 类 型 后 级 的 右边 (如 foo.html.en )。 


缓冲 说 明 


如 果 缓 存 中 有 一 个 与 特定 URL 关 联 的 表现 形式 (representation)， 那 么 下 一 次 该 URL 被 请 求 
时 ， 缓 存 就 可 以 使 用 它 。 但 是 ， 如 果 这 个 资源 在 服务 器 端 是 可 协商 的 ， 则 可 能 只 有 第 一 次 请 
求 的 变种 是 正确 的 ， 而 其 后 由 于 缓存 中 命中 而 取出 的 结果 是 错误 的 。 为 避免 这 种 情况 的 发 
生 ，Apache 通 常 把 内 容 协商 之 后 返回 的 响应 标记 为 不 可 以 被 HTTP/1.1 客 户 端 缓冲 。 另外 
Apache 还 支持 HTTP/1.1 协 议 的 功能 以 允许 缓冲 已 协商 的 请 求 。 


对 来 自 HTTP/1.0 客 户 端的 请 求 ( 浏 览 器 或 缓存 )， cacheNegotiatedpocs 指令 可 以 允许 缓存 服从 
协商 的 请 求 。 此 指令 应 该 出 现在 主 服务 器 或 虚拟 主机 的 配置 中 ， 没 有 参数 ， 并 且 对 来 自 
HTTP/1.1 客 户 端的 请 求 没有 影响 。 


对 于 遵守 HTTP/1.1 规 范 的 客户 端 ， Apache 发 送 一 个 vary 应 答 头 以 指定 该 应 答 的 协商 变 元 。 
缓存 可 以 使 用 这 个 信息 来 判断 一 个 其 后 的 请 求 是 否 可 以 从 本 地 副本 中 提供 服务 。 为 了 鼓励 缓 
存 使 用 本 地 副本 而 不 是 协商 变 元 ， 请 设置 force-no-vary 环境 变量 。 


更 多 信息 


更 多 有 关内 容 协 商 的 信息 ， 可 以 参见 Alan J. Flavell 的 Language Negotiation Notes, (B23 
意 ， 此 文档 可 能 没有 升级 以 包含 Apache2.0 中 的 改变 。 


自 定义 错误 响应 


Apache 可 以 让 网 站 管理 员 自 己 自 定义 对 一 些 错误 和 问题 的 响应 。 
自 定义 的 响应 可 以 定义 为 当 服务 器 检测 到 错误 或 问题 时 才 被 激活 。 


如 果 一 个 脚本 月 溃 并 产生 "500 Server Error" 响 应 ， 那 么 这 个 响应 可 以 被 更 友好 的 提示 替换 或 
者 干脆 用 重 定 向 语句 跳 到 其 他 的 URL( 本 地 的 或 外 部 的 )。 


行为 
老式 的 行为 


Apache1.3 会 响应 一 些 对 于 用 户 没有 任何 意义 的 错误 或 问题 信息 ， 而 且 不 会 将 产生 这 些 错 误 
的 原因 写 入 日 志 。 


新 式 的 行为 
服务 器 可 以 被 要 求 作 出 如 下 应 答 : 
1， 显 示 一 些 其 他 的 文字 以 代替 硬 编码 的 信息 


2， 重 定向 到 本 地 URL 
3， 重 定向 到 一 个 外 部 的 URL 


当 一 些 信息 可 以 被 传递 的 时 候 ， 重 定向 到 另外 一 个 URL 就 变 得 很 有 用 。 这 些 信 息 用 于 更 清楚 
的 解释 和 /或 记录 一 些 错误 或 问题 产生 的 原因 。 


为 了 达到 这 个 目的 ，Apache 将 定义 一 些 新 的 类 似 于 CGI 环 境 变量 的 环境 变量 : 


REDIRECT_HTTP_ACCEPT=*/*, image/gif, image/x-xbitmap, image/jpeg 
REDIRECT HTTP USER AGENT-Mozilla/1.1b2 (X11; I; HP-UX A.09.05 9000/712) 
REDIRECT PATH-.:/bin:/usr/local/bin:/etc 

REDIRECT QUERY STRING- 

REDIRECT REMOTE ADDR-121.345.78.123 

REDIRECT REMOTE HOST-ooh.ahhh.com 

REDIRECT SERVER NAME-crash.bang.edu 

REDIRECT SERVER PORT-80 

REDIRECT SERVER SOFTWARE-Apache/0.8.15 


REDIRECT URL-/cgi-bin/buggy.pl 


请 注意 "REDIRECT_ "这 个 前 级 。 


至 少 会 有 REDIRECT_URL 和 REDIRECT_QUERY_STRING 两 个 变量 会 被 传递 到 新 的 URL( 假 定 这 个 
URL 是 cgi 脚 本 或 者 是 cgi 包 含 页 面 )。 其 他 变量 将 信 在 发 生 错误 或 问题 之 前 存在 的 情况 下 才 存 
在 。 如 果 你 的 ErrorDocument 使 用 了 外 部 重 定向 (任何 类 似 于 http: 开头 的 形式 ， 哪 怕 它 仍 指 
向 同一 个 服务 器 )， 将 没有 任何 变量 被 指定 。 


Ac iS 


Mx ErrorDocument 进行 了 相应 的 设置 后 ， 将 可 以 在 .htaccess 文件 中 使 用 AllowOverride i8 


A 

To 

以 下 是 一 些 示例 .… 
ErrorDocument 500 /cgi-bin/crash-recover 
ErrorDocument 500 "Sorry, our script crashed. Oh dear" 
ErrorDocument 500 http://xxx/ 


ErrorDocument 404 /Lame excuses/not found.html 


ErrorDocument 401 /Subscription/how to subscribe.html 


语法 如 下 : 
ErrorDocument &lt;3 位 错误 代码 &gt; &lt;action&gt; 
<action> 可 以 代表 : 


1. 用 于 显示 的 用 双 引 号 (") 界 定 的 文字 。 双 引号 之 间 的 所 有 文字 都 将 被 显示 ， 但 双 引 号 本 身 
不 会 被 显示 

2， 作 为 重 定向 目的 外 部 URL 

3. 作为 重 定向 目的 本 地 URL 


自 定 义 错误 响应 与 重 定向 


Apache 重 定向 到 URL 的 行为 已 经 进行 了 修改 ， 以 便 可 以 在 脚本 /服务 器 端 包含 页 面 加 入 额外 的 
环境 变量 。 


老 陈 的 行为 
标准 CGI 变量 对 于 重 定向 的 目的 脚本 来 说 是 可 见 的 。 但 没有 说 明 重 定向 的 来 源 。 


新 陈 的 行为 


一 批 新 的 环境 变量 将 被 初始 化 并 提供 给 重 定向 的 目标 脚本 。 每 个 新 变量 都 有 一 

个 " REDIRECT_ "AUZ%. REDIRECT_* 环境 变量 由 重 定向 之 前 的 CGI 环境 变量 创建 而 来 ， 并 被 加 
EY" REDIRECT_ "前 级 。 比 如 说 ， HTTP_USER_AGENT JE fX f REDIRECT HTTP USER AGENT 。 在 这 
些 新 变量 之 外 ，Apache 还 将 定义 REDIRECT_URL 和 REDIRECT_STATUS 来 帮助 脚本 确定 重 定向 的 


来 源 。 重 定向 的 源 URL 和 目的 URL 都 能 被 记录 到 访问 日 志 中 。 


如 果 ErrorDocument 指定 了 一 个 到 本 地 CGI 脚本 的 重 定 向 ， 该 脚本 应 当 在 它 的 输出 中 包含 一 
D" status: " 头 字 段 以 确保 将 导致 调用 它 的 错误 条 件 始终 返回 客户 端 。 举 例 来 说 ， 一 个 Penl 
ErrorDocument 脚本 可 能 包含 如 下 内 容 : 


print "Content-type: text/html\n"; 


printf "Status: %s < 中 断 条 件 >\n"， SENV{"REDIRECT_STATUS"}; 


如 果 该 脚本 专门 用 于 义理 一 个 特定 的 错误 条 件 ， 比 如 : 404 Not Found ， 它 就 可 以 使 用 特定 
的 代码 和 错误 文本 进行 奉 代 。 


需要 注意 的 是 如 果 应 答 包 含 一 个 "Location: " 头 ( 为 了 进行 一 个 客户 端 重 定向 )， 脚 本 必须 发 出 
一 个 适当 的 " status: " 头 (比如 : 302 Found ), GI)" Location: " 头 可 能 无 效 。 


地 址 和 交口 的 绑 定 (Binding) 
配置 Apache 监 听 指 定 的 地 址 和 端口 。 
概述 


相关 模块 


* core 


* mpm common 


相关 指令 
*  «VirtualHost» 
@ Listen 
Apache 和 启动 时 ， 会 绑 定 本 机 上 的 地 址 和 端口 ， 然 后 等 待 请 求 的 进入 。 黑 认 情 况 下 ， 它 会 监听 


本 机 的 所 有 地 址 。 但 是 ， 当 需要 上 监听 特定 的 地 址 或 端口 或 地 址 与 端口 的 组 合 ， 或 者 需要 对 不 
同 的 IP 地 址 、 主 机 名 、 端 口 作 出 不 同 的 响应 (如 使 用 虚拟 主机 ) 时 ， 就 必须 明确 指定 。 


Listen 指 合 告诉 服务 器 接 只 受 来 自 特定 端口 (或 地 址 + 端口 的 组 合 ) 的 请 求 。 如 果 Listen ED 
仅 指 定 了 端口 ， 则 服务 器 会 监听 所 有 的 IP 地 址 ; 如 果 指 定 了 地 址 + 端口 的 组 合 ， 则 服务 器 只 监 
听 来 自 此 特定 地 址 上 特定 端口 的 请 求 。 使 用 多 个 Listen 指令 ， 可 以 指定 在 多 个 地 址 和 端口 上 
进行 监听 。 


例如 : 使 服务 器 同时 接受 来 自 端口 80 和 8000 的 请 求 ， 可 以 这 样 写 : 


Listen 80 


Listen 8000 


接受 来 自 两 个 指定 的 地 址 + 端口 的 组 合 : 


Listen 192.170.2.1:80 


Listen 192.170.2.5:8000 


IPv6 地 址 必须 用 方 括号 括 起 来 : 


Listen [2001:db8::a00:20ff :fea7:ccea]:80 


针对 IPv6 的 特殊 考虑 


有 越 来 越 多 的 平台 开始 支持 IPv6 ， 而 APR 在 大 多 数 平台 上 也 支持 IPv6 ， 使 Apache 能 够 获得 
IPv6 套 接 字 ， 并 处理 通 过 IPv6 发 送 的 请 求 。 


一 个 经 常 合 Apache 管 理 员 疑惑 的 问题 是 |Pv6 的 套 接 字 能 否 同 时 处 理 |Pv4 和 |Pv6 的 连接 。1Pv6 
套 接 字 在 处 理 IPv4 连 接 时 使 用 的 是 将 IPv6 映 射 到 IPv4 的 地 址 (IPv4-mapped IPv6 addresses), 
这 样 做 在 大 多 数 平台 上 默认 是 允许 的 ， 而 在 FreeBSD、NetBSD、OpenBSD 上 ， 为 了 配合 其 
系统 全 局 策略 ， 默 认 却 是 禁止 的 。 即 使 在 这 些 默认 禁止 的 平台 上 ，Apache 也 可 以 通过 特殊 
的 编译 选项 来 改变 这 种 行为 。 


另 一 方面 ， 在 某 些 平 台 上 (如 Linux 和 Tru64) 同 时 处 理 IPv6 和 IPv4 的 唯一 方法 就 是 使 用 映射 地 址 
(mapped addresses)。 如 果 你 希望 Apache 以 最 少 的 套 接 字 同时 义理 IPv4 和 1IPv6 的 连接 ， 就 必 
须 使 用 映射 到 IPv4 的 IPv6 地 址 ， 也 就 是 必须 指定 --enable-v4-mapped ”编译 选项 o 


在 除 FreeBSD、NetBSD、OpenBSD 以 外 的 其 他 平台 上 ， --enable-v4-mapped 是 编译 时 的 默 
认 值 。 因 此 你 正在 使 用 的 Apache 很 可 能 就 是 按照 这 种 方式 编译 的 。 


要 使 Apache 仅 仅 只 处 理 IPv4 连 接 ， 无 论 你 的 平台 是 什么 或 者 APR 是 否 支 持 ， 只 须 对 所 
有 Listen 指令 都 指定 IPv4 地 址 即 可 ， 如 下 所 示 : 


Listen 0.0.0.0:80 


Listen 192.170.2.1:80 


如 果 你 的 平台 支持 从 IPv6 到 IPv4 的 地 址 映射 ， 但 是 你 又 希望 Apache 使 用 不 同 的 套 接 字 分 别处 
理 IPv4 和 IPv6 的 连接 (也 就 是 禁用 地 址 映射 )， 必 须 明 确 指定 --disable-v4-mapped ”编译 选项 o 
注意 : --disable-v4-mapped 在 FreeBSD、NetBSD、OpenBSD 上 是 默认 值 。 


怎样 与 虚拟 主机 协同 工作 


Listen 指 合并 不 实现 虚拟 主机 ， 它 只 是 告诉 主 服务 器 (main server) 去 监听 哪些 地 址 和 端口 。 
如 果 没 有 <VirtualHost> H^, 服务 器 将 对 所 有 请 求 一 视 同仁 ; 但 是 如 果 有 <VirtualHost> 指 
合 ， 则 服务 器 会 对 不 同 的 地 址 和 端口 作出 不 同 的 响应 。 要 实现 虚拟 主机 ， 首 先 必须 告诉 服务 
器 需要 监听 哪些 地 址 和 端口 ， 然 后 为 每 个 特定 的 地 址 和 端口 建立 一 个 <virtualHost> 段 来 执行 
特定 的 相应 。 注 意 ， 如 果 将 <virtualHost> 段 设置 为 服务 器 没有 监听 的 地 址 和 端口 ， 则 此 上 段 无 
效 。 


多 路 义理 模块 
本 文档 描述 了 什么 是 多 路 处 理 模 块 以 及 它 如 何 为 Apache 所 使 用 。 


Apache HTTP 服 务 器 被 设计 为 一 个 强大 的 、 灵 活 的 能 够 在 多 种 平台 以 及 不 同 环境 下 工作 的 服 
务 器 。 不 同 的 平台 和 不 同 的 环境 经 常 产生 不 同 的 需求 ， 或 是 为 了 达到 同样 的 最 佳 效果 而 采用 
不 同 的 方法 。Apache 和 凭借 它 的 模块 化 设计 很 好 的 适应 了 大 量 不 同 的 环境 。 这 一 设计 使 得 网 站 
管理 员 能 够 在 编译 时 和 运行 时 凭借 载 人 不 同 的 模块 来 决定 服务 器 的 不 同 附加 功能 。 


Apache2.0 将 这 种 模块 化 的 设计 延伸 到 了 web 服 务 器 的 基础 功能 上 。 这 个 版 本 带 有 多 路 处 理 模 
块 (MPM) 的 选择 以 处 理 网 络 端口 绑 定 、 接 受 请 求 并 指派 子 进 程 来 处 理 这 些 请 求 。 


将 模块 化 设计 延伸 到 这 一 层次 主要 有 以 下 两 大 好 处 : 


。 Apache 可 以 更 简洁 、 更 有 效 地 支持 各 种 操作 系统 。 尤 其 是 在 mpm winnt 中 使 用 本 地 网 络 
特性 代替 Apache1.3 中 使 用 的 POSIX 模 拟 层 后 ，Windows 版 本 的 Apache 现 在 具有 更 好 的 
性 能 。 这 个 优势 借助 特定 的 MPM 同 桩 延伸 到 了 其 他 各 种 操作 系统 。 

。 服务 器 可 以 为 某 些 特定 的 站 点 进行 定制 。 上 比如， 需要 更 好 伸缩 性 的 站 点 可 以 选择 
象 worker 或 event 这 样 线程 化 的 MPM， 而 需要 更 好 的 稳定 性 和 兼容 性 以 适应 一 些 旧 的 
软件 的 站 点 可 以 用 prefork o 


从 用 户 角度 来 看 ，MPM 更 像 其 他 的 Apache 模 块 。 主 要 的 不 同 在 于 : 不 论 何 时 ， 必 须 有 且 仅 有 
一 个 MPM 被 载 入 到 服务 器 中 。 现 有 的 MPM 列 表 可 以 在 模块 卖 引 中 找到 。 


选择 一 个 MPM 


MPM 必 须 在 编译 配置 时 进行 选择 ， 并 静态 编译 到 服务 器 中 。 如 果 编 译 器 能 够 确定 线程 功能 被 
启用 ， 它 将 会 负责 优化 大 量 功 能 。 因 为 一 些 MPM 在 Unix 上 使 用 了 线程 ， 而 另外 一 些 没有 使 
用 ， 所 以 如 果 在 编译 配置 时 选择 MPM 并 静态 编译 进 Apache，Apache 将 会 有 更 好 的 表现 。 


你 可 以 在 使 用 configure 脚本 时 用 --with-mpm- NAME ”选项 指定 MPM，NAME 就 是 你 想 使 用 
的 MPM 的 名 称 。 


一 旦 服务 器 编译 完成 ， 就 可 以 用 ./httpd -1 命令 来 查看 使 用 了 哪个 MPM。 这 个 命令 将 列 出 
所 有 已 经 被 编译 到 服务 器 中 的 模块 ， 包 括 MPM。 


默认 的 MPM 


下 表 列 出 了 不 同 操作 系统 上 默认 的 MPM。 如 果 你 在 编译 时 没有 进行 选择 ， 这 将 是 默认 选择 的 
MPM。 


BeOS beos 
Netware mpm_netware 
OS/2 mpmt os2 
Unix prefork 


Windows mpm winnt 


Apache 的 环境 变量 


Apache HTTP 服 务 器 提供 了 一 个 机 制 ， 可 以 把 信息 存储 在 叫做 环境 变量 (environment 

variable) 的 命名 变量 中 。 这 个 信息 可 以 用 于 控制 诸如 日 志 记 录 和 访问 控制 之 类 的 操作 。 此 外 ， 
还 可 以 作为 一 个 和 诸如 CGI 脚本 这 样 的 外 部 程序 进行 沟通 的 机 制 。 本 文档 讨论 了 操作 和 使 用 这 
些 变量 的 不 同方 法 。 


RES RE aS E, 但 它们 和 底层 的 、 由 操作 系统 控制 的 环境 变量 不 能 混 为 一 
谈 。 这 些 变量 仅 在 Apache 内 部 被 存储 和 操纵 。 仅 当 它们 被 提供 给 外 部 CGI 脚 本 或 服务 器 端 包 
含 脚本 (SSI) 时 ， 才 会 变 成 真正 的 操作 系统 环境 变量 。 如 果 你 想 操 作 作 为 服务 器 运行 基础 的 操 
作 系 统 的 环境 变量 ， 你 必须 使 用 由 你 的 操作 系统 shell 提 供 的 标准 环境 操作 机 制 。 


设置 环境 变量 


相关 模块 


* mod env 
* mod rewrite 
* mod setenvif 


* mod unique id 
WAT 


*  BrowserMatch 

*  BrowserMatchNoCase 
*  PassEnv 

*  RewriteRule 

@  SetEnv 

@  SetEnvIf 

@ SetEnviIfNoCase 


* UnsetEnv 


基本 的 环境 变量 操作 


设置 一 个 Apache 环 境 变量 最 基本 的 方法 ， 就 是 使 用 没有 什么 限制 的 setenv 指令 。 也 可 以 使 
用 PassEnv 指 今季 启动 Apache 的 操作 系统 shell 的 环境 变量 传 进来 。 


针对 每 个 请 求 进行 有 条 件 的 设 定 


为 了 上 县 有 额外 的 伸缩 性 ， mod_setenvit 提供 的 指令 允许 针对 每 个 请 求 特定 的 请 求 特性 进行 环 
境 变量 的 设 定 。 比 如 ， 可 以 仅 在 一 个 特定 的 浏览 器 (User-Agent) 进 行 请 求 时 ， 或 仅 在 一 个 特定 
的 "Referer:" 头 被 发 现时 进行 环境 变量 的 设置 。 如 果 使 用 mod rewrite 的 RewriteRule 指令 中 
的 [E=...] 选项 来 进行 环境 变量 的 设置 ， 还 会 具有 更 大 伸缩 性 。 


唯一 标识 符 


最 后 ， mod_unique_id 将 为 每 个 请 求 设 定 一 个 uNIQUE_ID 环境 变量 的 值 ， 这 个 值 对 "所 有 "请 求 
都 是 唯一 的 ， 即 使 在 极为 特定 的 条 件 下 。 


标准 CGI 交 量 


除了 所 有 Apache 配 置 中 的 环境 变量 和 由 操作 系统 shell 传 进来 的 环境 变量 之 外 ， 还 有 一 组 环境 
变量 是 提供 给 CGI 脚本 和 SSI 页 面 的 ， 此 组 环境 变量 包含 由 CGI 规范 要 求 的 与 请 求 相 关 的 元 信 


e 用 环境 变量 操作 指令 来 覆盖 或 修改 标准 的 CGI 变量 是 行 不 通 的 。 

e 当 用 suexec 来 运行 CGI 脚本 时 ， 环 境 变 量 将 会 被 清除 到 在 CGI 脚本 运行 之 前 只 剩 一 组 安 
全 变量 。 安 全 变量 的 列表 在 编译 时 由 suexec.c 定 义 。 

e 出 于 可 移植 性 的 考虑 ， 环 境 变 量 的 命名 必须 仅 包 含 字 母 、 数 字 、 下 划 线 。 此 外 ， 第 一 个 
符号 不 能 为 数字 。 不 符合 此 要 求 的 字符 将 在 传递 给 CGI 脚本 和 SSI 页 面 时 被 下 划 线 取代 。 


使 用 环境 变量 


相关 模块 


* mod authz host 
@ mod_cgi 

@ mod ext filter 
* mod headers 

@ mod_include 

@ mod_log_config 


* mod_rewrite 
相关 指 今 


* Allow 
*  CustomLog 


* Deny 


*  ExtFilterDefine 
* Header 

*  LogFormat 

*  RewriteCond 


*  RewriteRule 


CGI 脚本 


环境 变量 的 主要 用 途 之 一 就 是 把 信息 传递 给 CGI 脚本 。 如 前 所 述 ， 递 给 CGI 脚本 的 环境 变量 ， 
除了 在 Apache 配 置 中 定义 的 以 外 ， 还 包含 一 组 与 请 求 相 关 的 标准 元 信息 的 环境 变量 。 更 多 细 
节 请 参见 CGI 教程 。 


SSI x: E 


由 mod include 的 rwcLupEs 过 滤器 义理 的 服务 器 端 解析 (Server-parsed[SSI) 文 档 能 够 
FH echo 元 素 打 印 出 环境 变量 ， 并 能 在 流程 控制 元 素 中 使 用 环境 变量 来 基于 请 求 特性 而 产生 部 
分 页 面 。Apache 当 然 也 会 和 择 上 述 的 标准 CGI 环境 变量 提供 给 SSI 页 面 。 更 多 细节 请 参见 SS| 教 


程 。 


访问 控制 


可 以 用 allow from env= 和 deny from env= 指令 基于 环境 变量 的 值 对 服务 器 进行 访问 控制 。 
在 结合 了 setenvit 之 后 ， 能 更 灵活 的 基于 客户 端 特 性 对 服务 器 进行 访问 控制 。 比 如 ， 你 能 
这 些 指令 来 拒绝 一 些 特定 浏 览 器 (User-Agent) 的 访问 。 


条 件 日 志 记 录 


可 以 用 LogFormat 的 可 选项 " «e "将 环境 变量 写 入 访问 日 志 中 。 此 处， 还 可 以 用 customLog 指 
使 基 于 环境 变量 的 状态 来 决定 是 否 将 请 求 宇 入 日 志 。 在 结合 了 setEnvIf 之 后 ， 能 更 灵活 的 控 
制 哪些 请 求 将 被 记录 。 比 如 ， 你 可 以 选择 不 对 以 gif 为 结尾 的 文件 名 请 求 进行 记录 ， 或 者 选 
择 只 记录 内 网 之 外 的 客户 端 请 求 。 


条 件 响应 头 


Header 指令 能 根据 一 个 环境 变量 是 否 存在 来 决定 是 否 将 一 个 HTTP 头 放 入 对 客户 端的 响应 
里 。 这 将 使 诸如 从 客户 端 收 到 特定 的 请 求 头 时 返回 特定 的 应 答 头 这 样 的 事情 成 为 可 能 。 


外 部 过 滤器 的 激活 


由 mod_ext_filter 的 ExtFilterDefine 指使 配置 的 外 部 过 滤器 可 以 用 disableenv= 和 
enableenv= 选项 根据 环境 变量 的 条 件 进 行 激 活 。 


URL 重 写 

Rewritecond 中 形 如 xenv:...} 的 TestString 人 允许 mod_rewrite 的 重 写 引 擎 以 环境 变量 为 条 件 
进行 决策 。 注 意 : mod_rewrite 内 部 可 以 访问 但 没有 以 ew: 开头 的 那些 变量 并 不 是 真正 的 环 
境 变量 。 它 们 只 是 mod rewrite 特 有 的 变量 而 不 能 被 其 他 模块 所 访问 。 


用 于 特殊 目的 的 环境 变量 


由 于 互 操 作 性 的 问题 ， 在 针对 特定 客户 端的 处 理 中 ， 引 入 了 一 套 修正 Apache 行 为 的 机 制 。 为 
了 使 这 些 机 制 尽 量 灵活 ， 它 们 将 通过 环境 变量 的 定义 而 激活 。 上 比如 ， 典 型 的 示例 
有 BrowserMatch , RE SetEnv 和 PassEnv 也 能 使 用 。 


downgrade-1.0 


即使 这 个 请 求 符合 更 新 的 标准 ， 也 强制 把 它 当 作 一 个 HTTP/1.0 请 求 来 处 理 。 


force-gzip 

如 果 你 激活 了 DEFLATE 过 滤器 ， 这 个 环境 变量 将 忽略 浏览 器 的 accept-encoding 设 置 而 无 条 件 
的 使 用 经 过 gzip 压 缩 的 输出 。 

force-no-vary 

此 变量 在 将 应 答 送 回 客户 端 之 前 删除 所 有 的 vary 头 字段 。 一 些 客户 端 不 能 正确 地 解析 此 头 字 
段 。 此 变量 的 设 定 将 解决 此 问题 ， 它 同时 隐 含 设置 了 force-response-1.0。 
force-response-1.0 


设 定 该 变量 可 以 在 客户 端 发 送 HTTP/1.0 请 求 时 ， 强 制 进 行 HTTP/1.0 响 应 。 它 的 实现 源 于 一 个 
AOL 的 代理 产生 的 问题 。 一 些 HTTP/1.0 客 户 端 在 收 到 HTTP/1.1 的 响应 后 会 有 不 正常 的 举动 。 
而 设 定 此 变量 能 够 解决 这 一 问题 。 


gzip-only-text/html 


当 该 变量 为 "1" 时 ， 将 禁止 text/html 之 外 的 内 容 类 型 使 用 由 mod_deflate 提供 的 DEFLATE 44 
出 过 滤器 。 如 果 你 更 喜欢 使 用 静态 的 压缩 文件 ; mod negotiation 也 同样 使 用 该 变量 (不 单单 
是 gzip， 而 是 所 有 不 具有 "同一 性 "的 编码 )。 


no-gzip 


如 果 ; 


ETIL Æ, mod_deflate 中 的 DEFLATE 过 滤器 将 被 禁用 ， 同 时 mod negotiation 将 拒 
绝 发 送 经 


过 编码 的 资源 。 
nokeepalive 


如 果 设 置 了 此 变量 ， keepAlive 将 被 禁用 。 


prefer-language 


此 变量 将 影响 mod negotiation 的 行为 。 如 果 它 包含 一 个 语言 标签 
(如 > oen. fr. zh_cn 、 x- 方 言 )， mod_negotiation 将 党 试 发 送 一 个 标签 指定 的 语言 的 变 
种 ， 如 果 不 存在 这 样 的 变种 ， 则 使 用 通常 的 内 容 协 商 义理 过 程 。 


redirect-carefully 


此 变量 将 使 服务 器 在 对 客户 端 发 送 重 定向 命令 时 更 加 小 心 。 典 型 应 用 于 已 知客 户 端 在 义理 重 
定向 指 邻 时 会 存在 问题 的 情况 下 。 它 的 实现 源 于 微软 的 WebFolders 软 件 存在 的 一 个 问题 。 它 
在 经 由 DAV 方 法 在 目录 资源 上 义理 重 定向 命令 时 会 有 问题 。 


suppress-error-charset 


仅 存 在 于 2.0.54 后 的 版 本 中 


当 Apache 针 对 用 户 请 求 响 应 一 个 重 定向 命令 的 时 候 ， 这 个 响应 中 包含 了 一 些 文字 。 这 些 文字 
将 在 客户 端 不 能 (或 没有 ) 自 动 执行 重 定向 操作 的 情况 下 显示 。Apache 会 将 这 段 文 字 按 照 1SO- 
8859-1 字 符 集 进行 编码 。 


然而 ， 如 果 重 定向 的 目的 页 面 使 用 了 不 同 的 字符 集 ， 一 些 有 问题 的 浏览 器 版 本 会 使 用 重 定向 
命令 文本 的 字符 集 ， 而 不 是 采用 目的 页 面 的 字符 集 。 比 如 ， 和 希腊 文 就 不 会 被 正确 显示 。 


设置 此 环境 变量 将 使 Apache 略 过 重 定向 命令 文本 的 字符 集 设 置 ， 这 样 这些 有 问题 的 浏览 器 就 
会 正确 的 使 用 目的 页 的 字符 集 。 


force-proxy-request-1.0, proxy-nokeepalive, proxy- 
sendchunked, proxy-sendcl 


这 些 指令 改变 了 mod proxy 协议 的 行为 ， 参 见 mod proxy. 文档 以 获得 更 多 细节 。 


示例 


针对 表现 不 恰当 的 客户 端 改 变 协 议 的 行为 


早期 的 版 本 建议 特 以 下 示例 包含 到 httpd.conf 中 以 解决 一 些 已 知 的 客户 端 问题 。 但 是 这 些 存在 
问题 的 客户 端 现 在 基本 上 已 经 绝种 了 ， 所 以 ， 下 列 示例 也 就 没有 存在 的 必要 了 。 


# 下 面 的 指 今 将 会 修改 HTTP 的 普通 响应 方式 。 

# 第 一 个 指令 为 Netscape 2.x 浏 览 器 禁用 keepalive 特 性 ， 因 为 它 不 能 正确 处 理 。 

# 第 二 个 指 合用 于 IE4.0， 因 为 它 也 不 能 对 HTTP/1.1 的 301/302( 重 定向 ) 频 答 正 确 处 理 keepalive。 
BrowserMatch "Mozilla/2" nokeepalive 

BrowserMatch "MSIE 4N.0b2;" nokeepalive downgrade-1.0 force-response-1.0 


# 下 面 的 指 倒 为 违反 HTTP/1.0 规 范 的 浏览 器 禁用 HTTP/1.1 应 答 。 
BrowserMatch "RealPlayer 4N.0" force-response-1.0 
BrowserMatch "Java/1N.0" force-response-1.0 
BrowserMatch "JDK/1N.0" force-response-1.0 


不 在 访问 日 志 中 记录 对 图 片 的 请 求 


以 下 示例 将 避免 将 对 图 片 的 请 求 记 和 人 访问 日 志 中 。 你 修改 一 下 就 可 以 将 它 用 于 避免 特定 目录 
或 特定 主机 的 请 求 被 记 入 日 志 。 


SetEnvIf Request URI \.gif image-request 
SetEnvIf Request URI \.jpg image-request 
SetEnvIf Request URI \.png image-request 
CustomLog logs/access log common env=!image-request 


阻止 "图 片 大 盗 " 


下 例 展 示 了 如 何 避 免 不 在 你 服务 器 上 的 人 在 他 们 的 站 点 中 直接 引用 你 服务 器 上 的 图 片 。 这 不 
是 一 个 推荐 的 配置 ， 但 它 能 在 有 限 的 环境 中 加 以 上 应用。 我 们 假设 你 所 有 的 图 片 都 
在 /web/images 目 录 下 。 


SetEnvIf Referer "^http://www.example.com/" local referal 
4 人 允许 未 发 送 Referer 头 的 浏览 器 
SetEnvIf Referer "^$" local referal 
«Directory /web/images» 
Order Deny,Allow 
Deny from all 
Allow from env-local referal 
«/Directory» 


想 得 知 此 技术 的 更 多 信息 ， 请 参阅 "今日 Apache 教 程 " 《保护 你 的 图 片 不 为 他 人 所 用 》。 
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本 文 阐述 Apache 处 理 器 的 使 用 。 


什么 是 处 理 妖 (Handler) 


相关 模块 


* mod actions 

* mod asis 

* mod_cgi 

* mod imagemap 

* mod info 

* mod_mime 

* mod negotiation 


* mod status 
相关 指令 


@ Action 
*  AddHandler 
*  RemoveHandler 


*  SetHandler 


"处 理 器 "是 当 一 个 文件 被 调用 时 ，Apache 所 执行 操作 的 内 部 表现 。 文 件 一 般 都 有 基于 其 文件 
类 型 的 隐 合 处 理 器 。 通 常 ， 文 件 都 只 是 被 服务 器 简单 的 提交 ， 只 有 某 些 文件 类 型 会 被 特别 
地 "处 理 "。 


Apache1.1 增 加 了 使 用 人 处理 器 的 能 力 。 处 理 器 可 以 基于 文件 名 后 缀 或 位 置 进行 指定 ， 而 不 只 是 
文件 类 型 ， 其 优越 性 不 仅 在 于 它 是 一 个 优秀 的 方案 ， 还 在 于 它 人 允许 一 个 文件 同时 与 一 种 类 型 
和 一 个 处 理 器 相关 联 。( 参 见 : 带 多 扩展 名 的 文件 ) 


处 理 器 可 以 被 编译 进 服务 器 也 可 以 包含 在 模块 中 ， 还 可 以 用 Action 指令 增加 。 标 准 发 行 版 中 
内 建 的 处 理 器 如 下 : 


e default-handler : 使 用 default handler() 发 送 文 件 ， 这 是 处 理 静 态 内 容 的 默认 处 理 器 。 
( core ) 

e send-as-is : 按 原 样 带 HTTP 头 发 送 文件 。( mod asis ) 

cgi-script : 将 文件 视 为 CGI 脚本 。( mod cgi ) 

imap-file : 将 文件 作为 映射 表 规 则 文件 解析 。( mod imagemap ) 

server-info : 获取 服务 器 的 配置 信息 。( mod info ) 


e server-status : 获取 服务 器 状态 的 报告 。( mod status ) 
e type-map : 将 文件 作为 类 型 表 文 件 解析 以 实现 内 容 协 商 。( mod negotiation ) 


例子 
用 CGI 脚本 修改 静态 的 内 容 


以 下 指令 ， 将 使 对 带 有 html 后 级 的 文件 的 请 求 ， 调 用 CGI 脚 本 footer.pl 


Action add-footer /cgi-bin/footer.pl 


AddHandler add-footer .html 


然后 ， 由 CGI 脚本 负责 发 送 (由 环境 变量 PATH TRANSLATED 指向 的 ) 原 始 请 求 文 档 ， 并 按 需 要 进 
行 修改 或 增加 。 


带 HTTP 头 的 文件 


以 下 指令 启用 send-as-is 义理 器 ， 它 用 于 义理 本 身 包 含 HTTP 头 的 文件 ， 这 样 ， 所 有 位 
于 /web/htdocs/asis/ 目录 中 的 文件 ， 无 论 其 后 级 名 是 什 , 都 由 send-as-is 进行 处 理 。 


<Directory /web/htdocs/asis> 
SetHandler send-as-is 


</Directory> 


为 了 实现 处 理 器 功能 ，Apache API 里 面 增加 了 一 些 内 容 ， 你 可 能 会 用 到 。 尤 其 是 Apache API 
结构 中 增加 了 一 个 字段 : 


char *handler 


如 果 你 的 模块 需要 使 用 义理 器 ， 只 须 在 对 请 求 执 行 invoke handler 之 前 ， 设 
G r-&gt;handler 为 该 处 理 器 的 名 称 即 可 。 处 理 器 的 实现 和 以 前 一 样 ， 只 是 使 用 了 处理 器 名 称 
而 不 是 内 容 类 型 。 义 理 器 的 名 称 可 以 有 "-"， 但 不 能 有 "/"， 以 避免 和 介质 类 型 名 称 冲突 。 
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本 文 阐述 Apache 中 过 滤器 的 用 法 。 


Apache 2 中 的 过 滤器 


相关 模块 


* mod filter 
* mod deflate 
* mod ext filter 
* mod_include 


* mod charset lite 
相关 指 命 


*  FilterChain 

*  FilterDeclare 

e  FilterProtocol 

*  FilterProvider 

*  AddInputFilter 

*  AddOutputFilter 

*  RemovelnputFilter 
*  RemoveOutputFilter 
*  ExtFilterDefine 

*  ExtFilterOptions 
*  SetInputFilter 


*  SetOutputFilter 
Apache 2.0 及 以 后 的 版 本 中 使 用 了 过 滤器 链 ， 使 得 应 用 程序 能 够 以 高 度 灵 活 的 、 可 配置 的 方 


式 处 理 进 入 的 数据 和 输出 的 数据 ， 而 无 需 关 心 这 些 数 据 来 自 哪里 。 我 们 可 以 预 处 理 进入 的 数 
据 和 后 处 理 (post-process) 输 出 的 数据 。 这 些 过 程 基 本 上 独立 于 传统 的 请 求 处 理 阶段 。 





Apache 请 求 处 理 过 程 输出 


标准 Apache 发 行 版 中 的 一 些 过 滤器 实例 : 


* mod include 实现 了 服务 端 包含 。 
* mod ssl 实现 了 SSL 加 密 (https)。 

e mod deflate 实现 了 实时 压缩 /解压 。 

e mod_charset_lite 在 不 同 的 字符 集 之 间 自 动 转换 。 
e mod_ext_filter 将 一 个 外 部 程序 作为 过 滤器 运行 。 


Apache 还 在 内 部 使 用 许多 过 滤器 来 对 请 求 执 行 诸如 分 块 、 字 节 层 次 处 理 (byte-range handling) 
等 功能 。 


可 以 从 modules.apache.org 或 别处 得 到 许多 通过 第 三 方 过 滤器 模块 实现 的 上 应 用 程序 。 其 中 的 
— bE 


e HTML 和 XML 义理 和 重 写 

e XSLT £ i&XIncludes 

。 XML 名 字 空 间 支 持 

e. 文件 上 传 处 理 和 HTML 表 格 解码 

e BARRE 

保护 诸如 PHP 脚 本 之 类 的 脆弱 应 用 程序 
文本 搜索 和 替换 编辑 
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Apache 2.1 及 以 后 的 版 本 中 包含 的 mod filter 模块 允许 过 虑 器 链 在 运行 时 进行 动态 配置 。 举 
例 来 说 ， 你 可 以 在 代理 无 法 得 到 原始 服务 器 发 送 的 初始 信息 的 情况 下 ， 安 装 一 个 使 用 不 同 的 

过 滤器 来 分 别 重 宇 HTML、 人 处 理 JPEG 图 片 的 代理 。 这 是 通过 使 用 一 个 过 滤器 束 (filter harness) 
来 工作 的 ， 该 过 虑 器 束 在 运行 时 根据 实际 内 容 的 不 同 将 任务 分 配给 不 同 的 提供 者 (provider)。 

任何 一 个 过 滤器 都 何以 被 直接 插入 到 过 滤器 链 中 并 无 条 件 的 运行 ， 或 者 动态 的 作为 一 个 提供 
者 (provider) 插 入 。 例 如 : 





e HTML 钦 理 过 滤器 仅 在 内 容 是 text/html 或 application/xhtml+xml 的 情况 下 才 运 行 
e 压缩 过 滤器 仅 在 输入 是 一 个 未 经 压缩 的 可 压缩 类 型 的 内 容 的 情况 下 才 运 行 
。 字符 集 转换 过 滤器 仅 在 一 个 文本 文档 不 是 期 望 的 字符 集 的 情况 下 才 被 插入 


使 用 过 滤器 


有 两 种 使 用 过 滤器 的 方法 : 简单 方法 和 动态 方法 。 通 常 ， 你 应 当 使 用 两 者 之 一 ; 混合 使 用 它 
们 可 能 会 导致 意 想 不 到 的 后 果 ( 虽 然 简单 方法 的 输入 过 滤器 可 以 和 简单 或 动态 方法 的 输出 过 滤 
器 混合 使 用 )。 

简单 方法 是 配置 输出 过 滤器 的 唯一 方法 ， 并 且 对 于 需要 静态 过 滤器 链 的 输出 过 滤器 来 说 是 足 
够 的 。 相 关 的 指令 有 : SetInputFilter , SetoutputFilter , AddInputFilter , 


AddOutputFilter , RemoveInputFilter , RemoveOutputFilter o 


动态 方法 使 输出 过 滤器 能 够 进行 静态 的 或 者 灵活 的 动态 配置 成 为 可 能 ， 详 情 请 参 
见 mod_filter 模块 文档 。 相关 指 今 : FilterChain , FilterDeclare , FilterProvider o 


一 个 更 高 级 的 指令 adoutputFilterByrype 也 被 支持 ， 但 是 可 能 存在 一 些 河 题 ， 目 前 还 不 赞成 
使 用 它 ， 而 代 之 以 动态 配置 。 


suEXEC i$ 


suEXEC 特 性 使 得 Apache 可 以 使 用 与 调用 web 服 务 器 的 用 户 不 同 的 用 户 身 份 来 运行 CGI 和 SSI 
程序 。 而 通常 情况 下 ，CGI 或 者 SSI 程 序 执 行 时 使 用 和 web 服 务 器 相同 的 用 户 身份 。 


正确 运用 该 特性 ， 可 以 减少 很 多 因为 提供 用 户 执 行 私有 CGI 或 者 SSI 程 序 所 带 来 的 安全 风险 。 
但 如 果 配 置 不 当 的 话 ， 则 可 能 引起 很 多 问题 ， 使 你 的 计算 机 产生 更 多 的 安全 漏洞 。 如 果 你 对 
管理 setuid root 程序 以 及 可 能 导致 的 安全 问题 不 熟悉 的 话 ， 我 们 强烈 建议 你 不 要 使 用 
SUEXEC, 


开始 之 前 
在 我 们 开始 切入 正题 之 前 ， 你 必须 明白 Apache 开 发 组 以 及 本 文档 所 做 的 假设 。 


首先 ， 我 们 假设 你 正在 使 用 类 UNIX 操 作 系 统 ， 只 有 这 类 操作 系统 才 具 有 setuid 和 setgid 命 
合 。 所 有 的 其 他 命 合 行 的 例子 也 是 如 此 。 其 他 的 操作 系统 平台 ， 即 使 也 支持 suEXEC， 但 是 它 
的 配置 可 能 和 我 们 所 讲 的 并 不 相同 。 


第 二 ， 我 们 假设 你 熟悉 计算 机 的 安全 和 管理 计算 机 的 一 些 基本 概念 。 这 关系 到 如 何 正 确 理解 
setuid/setgid 操 作 以 及 对 你 的 系统 可 能 带 来 的 各 种 影响 和 不 同 的 安全 等 级 。 


第 三 ， 我 们 假设 你 正在 使 用 源 代码 未 经 修改 的 SuEXEC 版 本 。 所 有 suEXEC 的 代码 都 经 过 开发 
者 的 仔细 查验 并 做 过 大 量 测试 。 在 这 些 代码 中 ， 人 们 采取 了 各 种 预防 措施 ， 使 之 简单 、 健 
壮 、 安 全 。 修 改 这 些 代码 可 能 会 导致 预料 之 外 的 问题 和 安全 隐患 。 所 以 我 们 强烈 地 建议 你 不 
要 修改 代码 ， 除 非 你 精通 安全 编程 ， 并 愿意 和 Apache 开 发 组 共享 成 果 。 


第 四 ， 也 是 最 后 一 点 ，Apache 开 发 组 已 经 决定 默认 不 安装 suEXEC。suEXEC 的 配置 需要 管 
理 员 细 致 关注 各 个 细节 。 在 仔细 考察 过 关于 suEXEC 的 各 种 设置 方法 后 ， 管 理 员 应 该 使 用 标准 
的 安装 方法 来 安装 suEXEC。 设 置 的 参数 应 该 经 过 仔细 推 谢 ， 以 保证 系统 的 安全 运行 。 
Apache 开 发 组 希望 通过 限制 SuEXEC 的 安装 ， 仅 使 那些 经 过 细致 理解 ， 并 有 能 力 运 用 它 的 管 
理 员 来 使 用 。 


你 还 想 使 用 suEXEC 吗 ?还 想 ? 很 好 1 那 我 们 开始 吧 ! 
suEXEC 的 安全 模型 


在 我 们 开始 配置 和 安装 suEXEC 之 前 ， 我 们 需要 先 讨论 一 下 它 的 安全 模型 。 这 样 ， 你 才能 更 好 
的 理解 suEXEC 内 部 究竟 做 了 些 什么 事情 ， 以 及 哪些 确保 系统 安全 的 预防 措施 。 


suEXEC 是 基于 一 个 setuid 的 "封装 "程序 ， 该 程序 由 " 主 "Apache web 服 务 器 调用 。 当 一 个 
HTTP 请 求 的 是 管理 员 指 定 的 、 以 不 同 于 " 主 " 服 务 器 用 户 身份 运行 的 CGI 或 SSI 程 序 时 ， 该 封装 
程序 将 被 调用 。 人 处 理 这 样 的 请 求 时 ，Apache 将 被 请 求 的 程序 名 及 其 UID 和 GID 提 供给 suEXEC 


封装 器 。 


封装 器 (wrapper) 通 过 处 理 下 面 所 描述 的 步骤 ， 来 决定 封装 的 成 功 或 失败 : 如 果 有 任意 一 个 条 
件 为 假 ， 程 序 将 把 错误 情况 记录 到 日 志 中 ， 退 出 并 返回 错误 信息 。 否 则 继续 执行 。( 以 下 所 说 
的 "程序 " 均 指 "CGI/SS| 程 序 ") 


1 用户 使 用 了 合法 的 系统 账号 来 执行 封装 程序 了 吗 ? 
确保 运行 封装 器 的 是 一 个 系统 中 确实 存在 的 用 户 。 
2. 封装 器 被 调用 时 ， 使 用 的 参数 个 数 正确 吗 ? 


封装 器 仅 在 使 用 了 正确 数量 的 参数 调用 时 才 会 执行 。Apache web 服 务 器 知道 正确 的 参数 
格式 是 什么 。 如 果 封 装 器 没有 收 到 正确 数量 的 参数 ， 则 说 明 要 么 被 黑客 攻击 ， 要 么 
Apache 二 进 制 代码 中 SuEXEC 的 部 分 出 了 问题 。 


1， 这 个 合法 的 用 户 被 允许 运行 封装 器 吗 ? 
这 个 用 户 是 可 以 运行 封装 器 的 用 户 吗 ? 仅 有 一 个 用 户 (Apache 用 户 ) 被 允许 运行 封装 器 。 
2. 目标 CGI/SSI 程 序 有 不 安全 的 分 级 路 径 索 引 吗 ? 


目标 CGI/SSI 程 序 包 含 了 "开头 或 者 有 ".." 后 向 路 笃 索 引 吗 ? 这 些 都 是 不 允许 的 ; 并 且 目 标 
程序 必须 位 于 suEXEC 的 文档 根 目 录 下 。 (参见 下 面 的 : --with-suexec-docroot=_DIR_ ) 


3. 目标 程序 的 所 属 用 户 名 合法 吗 ? 
目标 程序 的 所 属 用 户 名 存在 吗 ? 
4. 目标 程序 的 所 属 用 户 组 合法 吗 ? 
目标 程序 的 所 属 用 户 组 存在 吗 ? 
5. 目标 程序 的 所 属 用 户 名 不 是 超级 用 户 吗 ? 
目前 ，suEXEC 不 允许 root 执 行 CGI/SSI 程 序 。 
6. 目标 程序 所 属 用 户 的 UID 高 于 最 小 UID 值 吗 ? 


最 小 UID 值 是 在 配置 中 指定 的 。 你 可 以 指定 允许 执行 CGI/SSI 程 序 的 最 小 UID 值 ， 这 样 可 
以 保证 不 会 和 系统 账号 冲突 。 


7. 目标 程序 的 所 属 用 户 组 不 是 超级 用 户 组 吗 ? 
目前 ，suEXEC 不 允许 root 组 用 户 执行 CGMSSI 程 序 。 


8. 目标 程序 所 属 用 户 组 的 GID 高 于 最 小 GID 值 吗 ? 


10. 


11. 


12. 


13. 


14. 


15. 


16. 


17. 


18. 


最 小 GID 值 是 在 配置 中 指定 的 。 你 可 以 指定 允许 执行 CGI/SSI 程 序 的 最 小 GID 值 ， 这 样 可 
以 保证 不 会 和 系统 账号 冲突 。 


封装 器 能 够 成 功 地 变 为 目标 用 户 和 组 吗 ? 


这 里 就 是 程序 变 为 目标 用 户 和 组 的 关键 步骤 了 。 我 们 是 通过 调用 setuid 和 setgid 来 实现 
的 。 在 组 访问 列表 中 ， 和 该 用 户 相 关 的 所 有 组 信息 都 将 被 初始 化 。 


能 够 切换 到 程序 所 在 的 目录 吗 ? 
如 果 不 存在 ， 将 无 法 包含 程序 文件 。 如 果 不 能 切换 一 般 也 表示 目录 不 存在 。 
这 个 目录 在 Apache 的 网 络 空间 中 吗 ? 


如 果 是 对 于 服务 器 的 一 般 请 求 ， 那 么 请 求 的 目录 是 在 suEXEC 的 根 文档 目录 下 吗 ? 如 果 请 
求 的 是 一 个 用 户 目 录 ， 那 么 该 目录 是 在 suEXEC 配 置 的 该 用 户 的 根 目录 下 吗 ? (参见 : 
suEXEC 配 置 选项 ) 


该 目录 不 具有 其 他 用 户 可 写 的 权限 吗 ? 

我 们 不 想 把 目录 开放 给 其 他 人 ; 只 有 属 主 才 可 以 改变 该 目录 中 的 内 容 。 
目标 CGI/SSI 程 序 存在 吗 ? 

如 果 不 存 在 ， 当 然 无 法 继续 运行 。 

目标 CGI/SSI 程 序 不 可 以 被 其 他 用 户 改写 吗 ? 

我 们 不 想 给 其 他 人 有 修改 程序 的 权限 。 

目标 程序 尚未 被 setuid 或 者 setgid ? 

我 们 不 想 要 执行 的 程序 被 再 次 改变 UID/GID。 

目标 用 户 和 组 与 程序 的 用 户 和 组 相同 吗 ? 

用 户 是 这 个 文件 的 属 主 吗 ? 

我 们 可 以 成 功 清除 进程 的 环境 变量 并 保证 操作 的 安全 性 吗 ? 


SUEXEC 通 过 建立 一 个 安全 的 可 执行 路 径 (在 配置 中 定义 ) 来 清除 该 进程 的 环境 变量 ， 同 时 
只 传送 在 安全 环境 变量 列表 (配置 中 定义 ) 中 所 列 出 的 环境 变量 。 


可 以 成 功 的 变 为 目标 程序 并 执行 吗 ? 
这 里 就 是 suEXEC 结 束 ， 并 开始 运行 目标 程序 的 地 方 了 。 


这 是 suEXEC 封 装 器 标准 操作 方式 的 安全 模型 。 它 有 些 严格 ， 并 强加 了 CGI/SSI 设 计 上 的 限 
制 。 但 它 是 仔细 考虑 过 安全 之 后 一 步 步 发 展 起 来 的 模型 。 


更 多 关于 该 安全 模型 如 何 根据 服务 器 的 配置 来 限制 使 用 者 的 权限 ， 以 及 恰当 的 sSuEXEC 安 装 步 
又 能 够 避免 的 安全 隐患 ， 请 参见 警告 和 举例 部 分 。 


配置 和 安 六 suEXEC 


继续 我 们 的 探险 … 

SuUEXEC 配 置 选 项 

--enable-suexec 

该 选项 启用 默认 禁止 的 SuEXEC 功 能 。 并 同时 至 少 提供 一 个 --with-suexec-xxxxx 选项 ， 以 使 
APACI 使 用 suEXEC 功 能 来 处 理 请 求 。 

--with-suexec-bin- PATH. 

出 于 安全 考虑 ， suexec 二 进 制程 序 的 路 径 必 须 用 这 个 选项 指定 并 硬 编码 在 服务 器 里 。 比 

如 z: --with-suexec-bin-/usr/sbin/suexec 


--with-suexec-caller- UID. 


Apache 运 行 时 所 用 的 UID。 这 是 唯一 允许 执行 程序 的 用 户 。 

--with-suexec-userdir- DIR. 
定义 SuEXEC 人 允许 访问 的 用 户 宿主 目录 下 的 子 目 录 。sUEXEC 将 以 用 户 身份 执行 这 个 目录 下 的 
所 有 可 执行 程序 ， 所 以 这 些 程序 必须 是 "安全 程序 "。 如 果 使 用 "简单 的 " userpir 指 今 ( 即 不 
带 "”)， 则 此 处 应 该 被 设置 为 相同 的 值 。 当 userpir 指 合 所 指向 的 目录 与 asswd" 文 件 所 指定 
的 用 户 宿主 目录 不 同时 ，suEXEC 将 不 会 正常 工作 ， 其 默认 值 是 "public_htm/"。 如 果 所 支持 的 
虚拟 主机 对 每 个 用 户 有 不 同 的 vserpir ， 则 应 该 把 他 们 集中 在 同一 个 父 目录 下 ， 而 用 这 个 参 
数 指向 这 个 父 目录 。* 如 果 配 置 不 当 ，"~wserdir" 下 的 cgi 请 求 将 无 效 ! 


--with-suexec-docroot- DIR 


定义 Apache 的 DocumentRoot o BÆR Userpir 外 suEXEC 唯 一 可 以 使 用 的 目录 。 其 默认 目录 
是 --datadir 值 所 指定 的 带 有 "/htdocs" 的 后 级 的 目录 ， 上 比如 : 如 果 配 置 

T" --datadir-/home/apache "， 那 么 "home/apache/htdocs" 目 录 将 作为 suUEXEC 人 处理 器 的 文档 
根 目 录 。 


--with-suexec-uidmin- UID 


定义 了 suEXEC 目 标 用 户 的 最 低 UID。 对 大 多 数 系统 ， 一 般 是 500 或 100。 默 认 值 是 100 


--with-suexec -gidmin=_GID_ 


定义 了 suEXEC 目 标 组 的 最 低 GID。 对 大 多 数 系统 ， 是 100， 默 认 值 也 是 100。 


--with-suexec-logfile- FILE. 


它 定义 了 suEXEC 用 于 记录 所 做 的 事情 以 及 发 生 的 错误 的 日 志文 件 名 (对 审核 和 排 错 很 有 用 )， 
默认 文件 名 是 "suexec_log"， 并 位 于 标准 的 日 志文 件 目录 中 ( --logfiledir )。 


--with-suexec-safepath- PATH. 
定义 传 给 CGI 程序 的 一 个 安全 的 PATH 环境 变量 的 值 。 软 认 值 是 Vusrlocal/bin:/usrbin:/bin" 


编译 和 安装 suEXEC 人 处理 器 若 用 --enable-suexec 打开 了 suEXEC 功 能 ， 那 么 执行 make ME 
时 (Apache 自 带 的 ) suexec 一 进 制 文件 就 会 被 自动 建立 。 所 有 组 件 编译 完毕 后 执行 

make install 命令 进行 安装 时 ， suexec 文件 将 被 安装 在 --sbindir 选项 指定 的 目录 中 ， 默 
3 X" lusr/local/apache2/sbin/suexec", 注意 ， 安 装 过 程 需要 root 权 限 。 为 了 使 suEXEC 人 处理 
器 可 以 设置 UID， 其 所 有 者 必须 为 rot ”， 并 且 文 件 模 式 中 的 执行 位 必须 设置 为 1( 人 允许 执 
行 )。 


置 许可 权限 虽然 SuEXEC 包 装 会 检查 以 确保 它 的 调用 者 就 是 配置 选项 

--with-suexec-caller 所 指定 的 用 户 。 但 是 总 是 存在 这 样 的 可 能 性 : 一 个 系统 或 者 库 在 
SUEXEC 执 行 用 户 身份 检查 之 前 调用 它 ， 这 样 就 存在 一 个 可 利用 的 漏洞 。 通 常 ， 避 免 这 种 问题 
的 最 佳 办 法 是 ， 使 用 文件 系 的 统 权 限 来 确保 只 有 Apache 组 用 户 运 行 的 程序 才能 执行 
SUEXEC。 


如 果 你 的 web-server 是 按照 如 下 所 示 进 行 配置 的 : 


User www 


Group webgroup 


并 且 suexec 被 安装 在 usrlocalapache2/sbin/suexec" 目 录 ， 你 应 当 运 行 以 下 命 兮 


chgrp webgroup /usr/local/apache2/bin/suexec 


chmod 4750 /usr/local/apache2/bin/suexec 


这 将 确保 只 有 Apache 组 用 户 运 行 的 程序 才能 执行 SuEXEC。 


启用 和 共用 SuEXEC 


Apache 在 和 启动 过 程 中 ， 会 在 --sbindir 选项 指定 的 目录 (默认 
为 : "/usr/local/apache/sbin/suexec") 中 寻找 suexec 。 如 果 Apache 找 到 了 一 个 正确 配置 的 
SUEXEC KEES, 会 在 错 ; ik 日 志 中 记录 以 下 信息 


[notice] suEXEC mechanism enabled (wrapper: <var class="calibre40">/path/to/suexec</v 


si — —m 








如 果 服 务 器 启动 后 没有 这 个 信息 ， 那 么 很 可 能 是 服务 器 没 找到 适当 的 义理 器 ， 或 者 是 这 个 执 
行程 序 没有 安装 setuid root, 


如 果 要 在 Apache 服 务 器 运行 过 程 中 打开 suEXEC 功 能 ， 则 必须 停止 并 重新 启动 Apache。 用 一 
个 简单 的 HUP 或 USR1 信 号 来 重新 启动 是 不 够 的 。 


如 果 要 关闭 SuEXEC 功 能 ， 应 该 删除 suexec 文件 ， 并 停止 和 重新 启动 Apache。 


使 用 SuEXEC 
对 CGI 程序 的 请 求 仅 在 下 述 两 种 情况 下 才 会 调用 suEXEC 包 装 : 对 一 个 含 suexecuserGroup 指 
倒 的 虚拟 主机 发 起 请 求 ， 或 者 该 请 求 由 mod_userdir 模块 处 理 。 


虚拟 主机 : 使 用 suEXEC 人 处 理 器 的 方法 之 一 是 在 virtualHost 定义 中 使 用 suexecuserGroup 指 
令 。 通 过 设置 这 个 指令 来 确定 不 同 于 主 服 务 器 的 UID， 所 有 对 CGI 资源 的 请 求 将 

以 <virtualHost> 所 定义 的 User 和 Group 身份 执行 。 如 果 <virtualHost> 中 没有 这 个 指令 ， 则 
将 以 主 服 务 器 的 UID 身 份 执行 。 


用 户 目录 : 由 mod_userdir 处 理 的 请 求 会 调用 suEXEC 人 处 理 器 以 被 请 求 的 用 户 目录 所 属 的 UID 
执行 CGI 程序 。 此 功能 的 唯一 要 求 是 ， 此 用 户 必 须 有 CGI 执行 权限 ， 并 且 其 脚本 符合 上 述 安 全 
检查 的 要 求 。 参见 -with-suexec-userdir 编译 选 选项 。 


调试 SUEXEC 


如 上 所 述 ， suEXEC 人 处 理 器 会 在 --with-suexec-logfile 选项 所 指 定 的 日 志文 件 中 记录 信息 
如 果 你 感觉 配置 和 安装 不 正常 ， 可 以 查看 这 个 日 志 以 及 服务 器 的 错 误 日 志 。 


i$ Jabberwock : 警告 和 举例 


注意 ! 这 部 分 文档 可 能 还 没有 完成 。 查 看 最 新 的 修订 版 本 ， 请 到 Apache 开 发 组 的 在 线 文档 。 
以 下 是 有 关 限 制 和 服务 器 安装 的 几 个 注意 事项 ， 在 提交 任何 关于 suEXEC 的 "bugs" 以 前 ， 请 仔 


细 阅 读 。 
e suEXEC 注 意 事项 
e 层次 限制 


出 于 安全 和 效率 考虑 ， 所 有 suEXEC 请 求 必须 被 限制 在 虚拟 主机 或 者 用 户 目录 的 顶层。 举 
例 来 说 ， 如 果 你 配置 了 4 个 虚拟 主机 ， 你 必须 把 所 有 虚拟 主机 的 文档 根 目 录 都 安置 在 同一 
个 主 Apache 目 录 中 ， 这 样 才 能 为 虚拟 主机 启用 suEXEC。( 例 子 以 后 会 有 的 ) 


e SUEXEC 的 PATH 环境 变量 


改变 这 个 变量 的 值 是 危险 的 ， 必 须 确保 其 中 每 个 路 径 都 是 可 以 信任 的 目录 。 你 不 会 
谁 都 可 以 在 你 的 服务 器 上 安装 特洛伊 木马 。 


e 改变 SuEXEC 的 代码 
重申 ， 如 果 你 不 清楚 你 在 干什么 就 尽量 避免 ， 否 则 会 带 来 大 麻烦 的 。 


性 能 方面 的 提示 


Apache2.0 是 一 个 多 用 途 的 web 服 务 器 ， 其 设计 在 有 灵活 性 、 可 移植 性 和 性 能 中 求 得 平衡 。 虽然 
没有 在 设计 上 刻意 追求 性 能 指标 ， 但 是 Apache2.0 仍 然 在 许多 现实 环境 中 拥有 很 高 的 性 能 。 


相 比 于 Apache 1.3 ，2.0 版 本 作 了 大 量 的 优化 来 提升 处 理 能 力 和 可 伸缩 性 ， 而 且 大 多 数 的 改进 
在 默认 状态 下 就 可 以 生效 。 但 是 ， 在 编译 时 和 运行 时 ， 都 有 许多 可 以 显著 提高 性 能 的 选择 。 
本 文 阐述 在 安装 Apache2.0 时 ， 服 务 器 管理 员 可 以 改善 性 能 的 各 种 方法 。 其 中 ， 部 分 配置 选择 
可 以 使 httpd 更 好 地 利用 硬件 和 操作 系统 的 兼容 性 ， 其 他 则 是 以 功能 换取 速度 。 


硬件 和 操作 系统 


影响 web 服 务 器 性 能 的 最 大 的 因素 是 内 存 。 一 个 web 服 务 器 应 该 从 不 使 用 交换 机 制 ， 因 为 交换 
产生 的 滞后 使 用 户 总 感觉 "不 够 快 "， 所 以 用 户 就 可 能 去 按 "停止 "和 "刷新 "， 从 而 带 来 更 大 的 负 
载 。 你 可 以 ， 也 应 该 ， 控 制 Maxclients 的 设置 ， 以 避免 服务 器 产生 太 多 的 子 进程 而 发 生 交 

换 。 这 个 过 程 很 简单 : 通过 top 命令 计算 出 每 个 Apache 进 程 平 均 消 耗 的 内 存 ， 然 后 再 为 其 它 
进程 留 出 足够 多 的 内 存 。 


其 他 因素 就 很 普通 了 ， 装 一 个 足够 快 的 CPU， 一 个 足够 快 的 网 卡 ， 几 个 足够 快 的 硬盘 ， 这 里 
说 的 "足够 快 "是 指 能 满足 实际 应 用 的 需求 。 
操作 系统 是 很 值得 关注 的 又 一 个 因素 ， 已 经 被 证 实 的 很 有 用 的 经 验 有 : 
。 选择 能 够 得 到 的 最 新 最 稳定 的 版 本 并 打 好 补丁 。 近 年 来 ， 许 多 操作 系统 厂商 都 提供 了 可 
以 显著 改善 性 能 的 TCP 协 议 栈 和 线程 库 。 


e 如 果 你 的 操作 系统 支持 sendfile() 系统 调用 ， 则 务必 安装 带 有 此 功能 的 版 本 或 补丁 (对 
Linux 来 说 ， 就 是 使 用 Linux2.4 或 更 高 版 本 ， 对 Solaris8 的 早期 版 本 ， 则 需要 安装 补丁 )。 
在 支持 sendfile 的 系统 中 ，Apache2 可 以 更 快 地 发 送 静态 内 容 而 且 占 用 较 少 的 CPU 时 
间 。 


运行 时 的 配置 


相关 模块 


* mod dir 
* mpm common 


* mod status 


相关 指 今 


® AllowOverride 

* DirectoryIndex 

*  HostnameLookups 
*  EnableMMAP 

*  EnableSendfile 

*  KeepAliveTimeout 
*  MaxSpareServers 
*  MinSpareServers 
* Options 


@ StartServers 


HostnameLookups 和 其 他 DNS 考虑 


在 Apache1.3 以 前 的 版 本 中 ， HostnameLookups 默认 被 设 为 on 。 它 会 带 来 延迟 ， 因 为 对 每 一 
个 请 求 都 需要 作 一 次 DNS 查询 。 在 Apache1.3 中 ， 它 被 默认 地 设置 为 off 。 如 果 需 要 日 志文 
件 提供 主机 名 信息 以 生成 分 析 报 告 ， 则 可 以 使 用 日 志 后 义理 程序 logresolve ， 以 完成 DNS 坦 
询 ， 而 客户 端 无 须 等 待 。 


推荐 你 最 好 是 在 其 他 机 器 上 ， 而 不 是 在 web 服 务 器 上 执行 后 处 理 和 其 他 日 志 统 计 操作 ， 以 锡 影 
响 服 务 器 的 性 能 。 


如 果 你 使 用 了 任何 " Allow from domain" 或 " peny from domain" 指 邻 (也 就 是 domain 使 用 的 是 
主机 名 而 不 是 IP 地 址 )， 则 代价 是 要 进行 两 次 DNS 查询 (一 次 正 向 和 一 次 反 向 ， 以 确认 没有 作 
假 )。 所 以 ， 为 了 得 到 最 高 的 性 能 ， 应 该 避免 使 用 这 些 指令 (不 用 域名 而 用 IP 地 址 也 是 可 以 
的 )。 

注意 ， 可 以 把 这 些 指 邻 包含 在 «Location /server-status> 段 中 使 之 局 部 化 。 在 这 种 情况 下 ， 
只 有 对 这 个 区 域 的 请 求 才 会 发 生 DNS 查 询 。 下 例 禁 止 除 了 .html 和 .cgi 以 外 的 所 有 DNS 查 
i: 


HostnameLookups off 
«Files ~ "N.(html|cgi)$"» 


HostnameLookups on 
</Files> 


如 果 在 某 些 CGI 中 偶尔 需要 DNS 名 称 ， 则 可 以 调用 gethostbyname 来 解决 。 


FollowSymLinks 和 SymLinkslfOwnerMatch 


如 果 网 站 空间 中 没有 使 用 Options FollowSymLinks , 或 使 用 了 
Options SymLinksIfOwnerMatch ，Apache 就 必须 执行 额外 的 系统 调用 以 验证 符号 连接 。 文 件 
名 的 每 一 个 组 成 部 分 都 需要 一 个 额外 的 调用 。 例 如 ， 如 果 设 置 了 : 


DocumentRoot /www/htdocs 
«Directory /» 


Options SymLinksIfOwnerMatch 
</Directory> 


在 请 求 " /index.html "At, Apache S$ 
Xj" /www ", " /www/htdocs ", " /www/htdocs/index.html "执行 lstat() 调用 。 而 且 1stat() 的 
执行 结果 不 被 缓存 ， 因 此 对 每 一 个 请 求 都 要 执行 一 次 。 如 果 确 实 需要 验证 符号 连接 的 安全 


性 ， 则 可 以 这 样 : 


DocumentRoot /www/htdocs 
«Directory /» 


Options FollowSymLinks 
«/Directory» 


«Directory /www/htdocs» 


Options -FollowSymLinks +SymLinksIfOwnerMatch 
</Directory> 


这 样 ， 至 少 可 以 避免 对 DocumentRoot 路 径 的 多 余 的 验证 。 注 意 ， 如 
E Alias 或 RewriteRule 中 含有 DocumentRoot 以 外 的 路 径 ， 那么 同样 需要 增加 这 样 的 段 。 为 
了 得 到 最 佳 性 能 ， 上 应当 放弃 对 符号 连接 的 保护 ， 在 所 有 地 方 都 设置 FollowsymLinks ， 并 放弃 


使 用 SymLinksIfOwnerMatch 。 


AllowOverride 


如 果 网 站 空间 允许 覆盖 (通常 是 用 htaccess 文件 )， 则 Apache 会 试图 对 文件 名 的 每 一 个 组 成 
部 分 都 打开 .htaccess ， 例 如 : 


DocumentRoot /www/htdocs 
«Directory /» 


AllowOverride all 
«/Directory» 


如 果 请 求 " [index.html "， 则 Apache 会 试图 打 
JT" /.htaccess "、" /www/.htaccess ". " /www/htdocs/.htaccess "。 其 解决 方法 和 前 面 所 述 的 
Options FollowSymLinks 类 似 。 为 了 得 到 最 佳 性 能 ， 应 当 对 文件 系统 中 所 有 的 地 方 都 使 用 


AllowOverride None o 


内 容 协 商 


使 用 内 容 协商 。 但 是 仍然 有 个 方法 可 以 提高 服务 器 的 速度 ， 就 是 不 要 使 用 通配符 ， 如 : 


DirectoryIndex Index 


而 使 用 完整 的 列表 ， 如 : 


DirectoryIndex index.cgi index.pl index.shtml index.html 


其 中 最 常用 的 应 该 放 在 前 面 。 


还 有 ， 建 立 一 个 明确 的 type-map 文件 在 性 能 上 优 于 使 用 " options Multiviews "， 因 为 所 有 需 
要 的 信息 都 在 一 个 单独 的 文件 中 ， 而 无 须 搜 索 目 录 。 请 参考 内 容 协商 文档 以 获得 更 详细 的 协 
商 方法 和 创建 type-map 文件 的 指导 。 


内 存 映 射 


在 Apache2.0 需 要 搜索 被 发 送 文 件 的 内 容 时 ， 上 比如 处 理 服 务 器 端 包含 时 ， 如 果 操 作 系统 支持 某 
种 形式 的 mmap() ， 则 会 对 此 文件 执行 内 存 映射 。 


在 某 些 平台 上 ， 内 存 映 射 可 以 提高 性 能 ， 但 是 在 某 些 情况 下 ， 内 存 映 射 会 降低 性 能 甚至 影响 
到 httpd 的 稳定 性 : 


e 在 某 些 操作 系统 中 ， 如 果 增 加 了 CPU， mmap 还 不 如 read() 迅速 。 比 如 ， 在 多 义理 器 的 
Solaris 服 务 器 上 ， 关 闭 了 mmap ，Apache2.0 传 送 服务 端 解析 文件 有 时 候 反而 更 快 。 


。 如 果 你 对 作为 NFS 装 载 的 文件 系统 中 的 一 个 文件 进行 了 内 存 映射 ， 而 另 一 个 NFS 客 户 端 
的 进程 删除 或 者 截断 了 这 个 文件 ， 那 么 你 的 进程 在 下 一 次 访问 已 经 被 映射 的 文件 内 容 


时 ， 会 产生 一 个 总 线 错 误 。 
如 果 有 上 述 情况 发 生 ， 则 应 该 使 用 EnableMMAP off 关闭 对 发 送 文件 的 内 存 映射 。 注 意 : 此 指 
今 可 以 被 针对 目录 的 设置 覆盖 。 
Sendfile 


在 Apache2.0 能 够 忽略 将 要 被 发 送 的 文件 的 内 容 的 时 候 (比如 发 送 静态 内 容 )， 如 果 操 作 系 统 支 
WF sendfile() ， 则 Apache 将 使 用 内 核 提供 的 sendfile() 来 发 送 文件 。 


在 大 多 数 平台 上 ， 使 用 sendfile 可 以 通过 免除 分 离 的 读 和 写 操 作 来 提升 性 能 。 然 而 在 某 些 情况 
下 ， 使 用 sendfile 会 危害 到 httpd 的 稳定 性 


e. 一 些 平台 可 能 会 有 Apache 编 译 系统 检测 不 到 的 有 缺陷 的 sendfile 支 持 ， 特 别 是 将 在 其 他 平 
台 上 使 用 交叉 编译 得 到 的 二 进 制 文件 运行 于 当前 对 sendfile 支 持 有 缺陷 的 平台 时 。 


。 对 于 一 个 挂 载 了 NFS 文 件 系统 的 内 核 ， 它 可 能 无 法 可 靠 的 通过 自己 的 cache 服 务 于 网 络 文 
件 。 


如 果 出 现 以 上 情况 ， 你 应 当 使 用 " Enablesendfile off "来 禁用 sendfile 。 注 意 ， 这 个 指使 可 以 
被 针对 目录 的 设置 覆盖 。 


进程 的 建立 


在 Apache1.3 以 前 ， MinSpareServers ， MaxSpareServers , StartServers 的 设置 对 性 能 都 有 很 
大 的 影响 。 尤 其 是 为 了 应 对 负载 而 建立 足够 的 子 进 程 时 ，Apache 需 要 有 一 个 "渐进 "的 过 程 。 
在 最 初 建立 startservers 数量 的 子 进程 后 ， 为 了 满足 Minspareservers 设置 的 需要 ， 每 一 秒 钟 
只 能 建立 一 个 子 进程 。 所 以 ， 对 一 个 需要 同时 久 理 100 个 客户 端的 服务 器 ， 如 

果 startservers 使 用 默认 的 设置 5 ， 则 为 了 应 对 负载 而 建立 足够 多 的 子 进 程 需要 95 秒 。 在 实 
际 应 用 中 ， 如 果 不 频 繁重 新 启动 服务 器 ， 这 样 还 可 以 ， 但 是 如 果 仅仅 为 了 提供 10 分 钟 的 服 
务 ， 这 样 就 很 粳 糕 了 。 


"一 秒 钟 一 个 "的 规定 是 为 了 避免 在 创建 子 进程 过 程 中 服务 器 对 请 求 的 响应 停顿 ， 但 是 它 对 服务 
器 性 能 的 影响 太 大 了 ， 必 须 予 以 改变 。 在 Apache1.3 中 ， 这 个 "一 秒 钟 一 个 "的 规定 变 得 宽松 
了 ， 创 建 一 个 进程 ， 等 待 一 秒 钟 ， 继 续 创 建 第 二 个 ， 再 等 待 一 秒 钟 ， 继 而 创建 四 个 ， 如 此 按 
旨 数 级 增加 创建 的 进程 数 ， 最 多 达到 每 秒 32 个 ， 直 到 满足 Minspareservers 设置 的 值 为 止 。 


从 多 数 反 映 看 来 ， 似乎 没有 必要 调整 MinSpareServers , MaxSpareServers , StartServers o 
如 果 每 秒 钟 创建 的 进程 数 超过 4 个 ， 则 会 在 ErrorLog 中 产生 一 条 消息 ， 如 果 产 生 大 量 此 消 
息 ， 则 可 以 考虑 修改 这 些 设置 。 可 以 使 用 mod_status 的 输出 作为 参考 。 


与 进程 创建 相关 的 是 由 MaxRequestsPerchild 引发 的 进程 的 销毁 。 其 默认 值 是 " 。 "， 意 味 着 每 
个 进程 所 义理 的 请 求 数 是 不 受 限制 的 。 如 果 此 值 设置 得 很 小 ， 比 如 30， 则 可 能 需要 大 幅 增 
加 。 在 SunOS 或 者 Solaris 的 早期 版 本 上 ， 其 最 大 值 为 10000 以 免 内 存 泄漏 。 


如 果 启 用 了 持久 链接 ， 子 进程 将 保持 忙 太 状 态 以 等 待 被 打开 连接 上 的 新 请 求 。 为 了 最 小 化 其 
负面 影响 ， keepAliveTimeout 的 默认 值 被 设置 为 5 秒 ， 以 谋求 网 络 带宽 和 服务 器 资源 之 间 的 
平衡 。 在 任何 情况 下 此 值 都 不 应 当 大 于 eo 秒 ， 参 见 most of the benefits are lost. 


编译 时 的 配置 


选择 一 个 MPM 


Apache 2.x 支持 插入 式 并 行 处 理 模 块 ， 称 为 多 路 处 理 模块 (MPM)。 在 编译 Apache 时 你 必须 选 
择 也 只 能 选择 一 个 MPM， 这 里 有 几 个 针对 非 UNIX 系 统 的 MPM : beos, mpm netware , 
mpmt_os2 , mpm winnt o 对 类 UNIX 系 统 ， 有 几 个 不 同 的 MPM 可 供 选 择 ， 他 们 都 会 影响 到 httpd 
的 速度 和 可 伸缩 性 : 


e worker MPM 使 用 多 个 子 进程 ， 每 个 子 进程 中 又 有 多 个 线程 。 每 个 线程 处 理 一 个 请 求 。 该 


MPM 通 常 对 高 流量 的 服务 器 是 一 个 不 错 的 选择 。 因 为 它 比 prefork MPM 需 要 更 少 的 内 存 
且 更 具有 伸缩 性 。 

e prefork MPM 使 用 多 个 子 进程 ， 但 每 个 子 进程 并 不 包含 多 线程 。 每 个 进程 只 处 理 一 个 链 
接 。 在 许多 系统 上 它 的 速度 和 worker MPM 一 样 快 ， 但 是 需要 更 多 的 内 存 。 这 种 无 线程 的 
设计 在 某 些 情况 下 优 于 worker MPM: 它 可 以 应 用 于 不 具备 线程 安全 的 第 三 方 模块 (比如 
php3/4/5)， 且 在 不 支持 线程 调试 的 平台 上 易于 调试 ， 而 且 还 具有 上 比 worker MPM 更 高 的 
稳定 性 。 


关于 MPM 的 更 多 内 容 ， 请 参考 其 文档 。 


模块 


既然 内 存 用 量 是 影响 性 能 的 重要 因素 ， 你 就 应 当 尽 量 去 除 你 不 需要 的 模块 。 如 果 你 将 模块 编 
译 成 DSO ， 取 消 不 必要 的 模块 就 是 一 件 非常 简单 的 事情 : 注释 掉 LoadModule 指令 中 不 需要 的 
模块 。 


如 果 你 已 经 将 模块 静态 链接 进 Apache 二 进 制 核心 ， 你 就 必须 重新 编译 Apache 并 去 掉 你 不 想 要 
的 模块 。 


增 减 模块 牵涉 到 的 一 个 问题 是 : 究竟 需要 哪些 模块 、 不 需要 哪些 模块 ? 这 取决 于 服务 器 的 具 
体 情况 。 一 般 说 来 ， 至 少 要 包含 下 列 模块 mod mime, mod dir , mod log config 。 你 也 可 
以 不 要 mod_log_config ， 但 是 一 般 不 推荐 这 样 做 。 


原子 操作 


一 些 模块 ， 比 如 mod cache 和 worker 使 用 APR(Apache 可 移植 运行 时 ) 的 原子 API。 这 些 API 提 
供 了 能 够 用 于 轻 量 级 线程 同步 的 原子 操作 。 


默认 情况 下 ，APR 在 每 个 目标 OS/CPU 上 使 用 其 最 有 效 的 特性 执行 这 些 操 作 。 比 如 许多 现代 
CPU 的 指令 集中 有 一 个 原子 的 比较 交换 (compare-and-swap, CAS) 操 作 指 令 。 在 一 些 老式 平 
台 上 ，APR 默 认 使 用 一 种 缓慢 的 、 基 于 互 斥 执行 的 原子 API 以 保持 对 没有 CAS 指 今 的 老式 CPU 
的 兼容 。 如 果 你 只 打算 在 新 式 的 CPU 上 运行 Apache， 你 可 以 在 编译 时 使 用 


--enable-nonportable-atomics 选项 : 


./buildconf 


./configure --with-mpm=worker --enable-nonportable-atomics-yes 


--enable-nonportable-atomics 选项 只 和 下 列 平 台 相 关 : 


e SPARC 上 的 Solaris 轩 认 情况 下 ，APR 使 用 基于 互 斥 执行 的 原子 操作 。 如 果 你 使 用 
--enable-nonportable-atomics 选项 ，APR 将 使 用 SPARC v8plus 操 作 码 来 加 快 基 于 硬件 
的 CAS 操 作 。 注 意 ， 这 仅 对 UltraSPARC CPU 有 效 。 

e Xx86 上 的 Linux 默认 情况 下 ，APR 在 Linux 上 使 用 基于 互 斥 执 行 的 原子 操作 。 如 果 你 使 用 


--enable-nonportable-atomics 选项 ，APR 将 使 用 486 操 作 码 来 加 快 基于 硬件 的 CAS 操 
作 。 注 意 ， 这 仅 对 486 以 上 的 CPU 有 效 。 


mod status 和 "ExtendedStatus On" 


如 果 Apache 在 编译 时 包含 了 mod status ， 而 且 在 运行 时 设置 了 " Extendedstatus on", ABA 
Apache 会 对 每 个 请 求 调用 两 次 gettimeofday() (或 者 根据 操作 系统 的 不 同 ， 调 用 times() ) 以 
及 (1.3 版 之 前 ) 几 个 额外 的 time() 调用 ， 使 状态 记录 带 有 时 间 标 志 。 为 了 得 到 最 佳 性 能 ， 可 以 
设置 " Extendedstatus off "( 这 也 是 默认 值 )。 


多 socket 情 况 下 的 串 行 accept 


ax He 

=o 

这 部 分 内 容 尚未 完全 根据 Apache2.0 中 的 变化 进行 更 新 。 一 些 信息 依然 有 效 ， 使 用 中 请 注 
意 。 


这 里 要 说 的 是 Unix socket API 的 一 个 缺点 。 假 设 web 服 务 器 使 用 了 多 个 Listen 语句 监听 多 
个 端口 或 者 多 个 地 址 ，Apache 会 使 用 select() 以 检测 每 个 socket 是 否 就 绪 。 select() AR 
明 一 个 socket 有 雳 或 至 少 一 个 连接 正 等 候 多 理 。 由 于 Apache 的 模型 是 多 子 进程 的 ， 所 有 空闲 
进程 会 同时 检测 新 的 连接 。 一 个 很 天 真 的 实现 方法 是 这 样 的 (这 些 例子 并 不 是 源 代码 ， 只 是 为 
了 说 明 问题 而 已 ) : 


for (;;) { 
for (;;) t 
fd set accept fds; 
FD ZERO (&accept fds); 
for (i = first socket; i <= last socket; ++i) { 


FD_SET (i, &accept_fds); 
j 


rc = select (last socket-1, &accept fds, NULL, NULL, NULL); 
if (rc « 1) continue; 
new connection - -1; 
for (i = first socket; i <= last socket; ++i) { 
if (FD ISSET (i, &accept_fds)) { 


new connection - accept (i, NULL, NULL); 


if (new connection !- -1) break; 
j 
j 
if (new connection !- -1) break; 
j 
process the new connection; 


} 


这 种 天 真 的 实现 方法 有 一 个 严重 的 "饥饿 "问题 。 如 果 多 个 子 进 程 同 时 执行 这 个 循环 ， 则 在 多 个 
请 求 之 间 ， 进 程 会 被 阻塞 在 select ， 随 即 进入 循环 并 试图 accept 此 连接 ， 但 是 只 有 一 个 进 
程 可 以 成 功 执行 (假设 还 有 一 个 连接 就 绪 )， 而 其 余 的 则 会 被 阻塞 在 accept 。 这 样 ， 只 有 那 一 
个 socket 可 以 义理 请 求 ， 而 其 他 都 被 锁 住 了 ， 直 到 有 足够 多 的 请 求 将 它们 唤醒 。 此 "饥饿 "问题 
在 PR#467 中 有 专门 的 讲述 。 目 前 至 少 有 两 种 解决 方案 。 


一 种 方案 是 使 用 非 阻塞 型 socket ， 不 阻塞 子 进程 并 允许 它们 立即 继续 执行 。 但 是 这 样 会 浪费 
CPU 时 间 。 设 想 一 下 ， select 有 10 个 子 进程 ， 当 一 个 请 求 到 过 的 时 候 ， 其 中 9 个 被 唤醒 ， 并 
试图 accept 此 连接 ， 继 而 进入 select 和 循环， 无所事事 ， 并 且 其 间 没 有 一 个 子 进程 能 够 响应 
出 现在 其 他 socket 上 的 请 求 ， 直 到 退出 select 循环 。 总 之 ， 这 个 方案 效率 并 不 怎么 高 ， 除 非 
你 有 很 多 的 CPU， 而 且 开 了 很 多 子 进程 。 


另 一 种 也 是 Apache 所 使 用 的 方案 是 ， 使 内 层 循环 的 入 口 串 行 化 ， 形 如 (不 同 之 处 以 高 之 显 
77): 


for (;;) { 
**accept mutex on ();** 
for (;;) { 
fd set accept fds; 
FD ZERO (&accept fds); 
for (i = first socket; i <= last socket; ++i) { 


FD_SET (i, &accept_fds); 
j 


rc = select (last socket-1, &accept fds, NULL, NULL, NULL); 
if (rc « 1) continue; 
new connection - -1; 
for (i = first socket; i <= last socket; ++i) { 
if (FD ISSET (i, &accept fds)) { 
new connection - accept (i, NULL, NULL); 
if (new connection !- -1) break; 
} 
} 


if (new_connection != -1) break; 


} 


**accept_mutex_off ();** 


process the new connection; 


n 


ERA accept mutex on 和 accept mutex off 实现 了 一 个 互 斥 信号 灯 ， 在 任何 时 刻 只 被 为 一 个 子 
进程 所 拥有 。 实 现 互 斥 的 方法 有 多 种 ， 其 定义 位 于 src/conf.h (1.3 以 前 的 版 本 ) 

或 src/include/ap config.h (1.3 或 以 后 的 版 本 ) 中 。 在 一 些 根本 没有 锁定 机 制 的 体系 中 ， 使 用 
多 个 Listen 指令 就 是 不 安全 的 。 

AcceptMutex 指令 被 用 来 改变 在 运行 时 使 用 的 互 斥 方案 。 


AcceptMutex flock 


这 种 方法 调用 系统 函数 flock() 来 锁定 一 个 加 锁 文 件 (其 位 置 取决 于 LockFile 18$). 
AcceptMutex fcntl 

这 种 方法 调用 系统 函数 fcnt1() 来 锁定 一 个 加 锁 文 件 (其 位 置 取决 于 LockFile 18$). 
AcceptMutex sysvsem 

(1.3 及 更 新 版 本 ) 这 种 方案 使 用 SysV 风 格 的 信号 灯 以 实现 互 斥 。 不 幸 的 是 ，SysV 风 格 的 信号 灯 


有 一 些 副作用 ， 其 一 是 ，Apache 有 可 能 不 能 在 结束 以 前 释放 这 种 信号 灯 ( 见 ipcs() 的 man 
page)， 另 外 ， 这 种 信号 灯 API 给 与 网 络 服务 器 有 相同 uid 的 CGI 提供 了 拒绝 服务 攻击 的 机 会 (所 


有 CGI， 除 非 用 了 类 似 suexec SX cgiwrapper )。 鉴 于 此 ， 在 多 数 体系 中 都 不 用 这 种 方法 ， 除 
了 IRIX( 因 为 前 两 种 方法 在 IRIX 中 代价 太 高 )。 


AcceptMutex pthread 


(1.3 及 更 新 版 本 ) 这 种 方法 使 用 了 POSIX 互 斥 ， 按 理应 该 可 以 用 于 所 有 完整 实现 了 POSIX 线 程 
规范 的 体系 中 ， 但 是 似乎 只 能 用 在 Solaris2.5 及 更 新 版 本 中 ， 甚 至 只 能 在 某 种 配置 下 才 正 常 运 
作 。 如 果 遇 到 这 种 情况 ， 则 应 该 提防 服务 器 的 挂 起 和 失去 响应 。 只 提供 静态 内 容 的 服务 器 可 
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AcceptMutex posixsem 


(2.0 及 更 新 版 本 ) 这 种 方法 使 用 了 POSIX 信 号 灯 。 如 果 一 个 运行 中 的 线程 占有 了 互 斥 segfault , 
则 信号 灯 的 所 有 者 将 不 会 被 恢复 ， 从 而 导致 服务 器 的 挂 起 和 失去 响应 。 


如 果 你 的 系统 提供 了 上 述 方法 以 外 的 串 行 机 制 ， 那 就 可 能 需要 为 APR 增 加 代码 (或 者 提交 一 个 
补丁 给 Apache)。 


还 有 一 种 便 经 考虑 过 但 从 未 予以 实施 的 方案 是 使 循环 部 分 地 串 行 化 ， 即 只 克 许 一 定数 量 的 进 
程 进入 循环 。 这 种 方法 仅 在 多 个 进程 可 以 同时 进行 的 多 义理 器 的 系统 中 才 是 有 价值 的 ， 而 且 
这 样 的 串 行 方法 并 没有 占用 整个 带宽 。 它 也 许 是 将 来 研究 的 一 个 领域 ， 但 是 由 于 高 度 并 行 的 
网 络 服务 器 并 不 符合 规范 ， 所 以 其 被 优先 考虑 的 程度 会 比较 低 。 


当然 ， 为 了 得 到 最 佳 性 能 ， 最 后 就 根本 不 使 用 多 个 Listen 语句 。 但 是 上 述 内 容 还 是 值得 读 一 
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单 sSocket 情 况 下 的 串 行 accept 


上 述 对 多 socket 的 服务 器 进行 了 一 流 的 讲述 ， 那 么 对 单 socket 的 服务 器 又 怎样 呢 ?理论 上 似乎 
应 该 没有 什么 问题 ， 因 为 所 有 进程 在 连接 到 来 的 时 候 可 以 由 accept() 阻塞 ， 而 不 会 产生 进 
程 " 饥 钱 " 的 问题 ， 但 是 在 实际 应 用 中 ， 它 掩盖 了 与 上 述 非 阻塞 方案 几乎 相同 的 问题 。 按 大 多 数 
TCP 栈 的 实现 方法 ， 在 单个 连接 到 来 时 ， 内 核实 际 上 唤醒 了 所 有 阻塞 在 accept 的 进程 ， 但 只 
有 一 个 能 得 到 此 连接 并 返回 到 用 户 空 间 ， 而 其 余 的 由 于 得 不 到 连接 而 在 内 核 中 处 于 休眠 状 
态 。 这 种 休眠 状态 为 代码 所 掩盖 ， 但 的 确 存 在 ， 并 产生 与 多 socket 中 采用 非 阻塞 方案 相同 的 负 
载 尖 峰 的 浪费 。 


同时 ， 我 们 发 现在 许多 体系 结构 中 ， 即 使 在 单 socket 的 情况 下 ， 实 施 串 行 化 的 效果 也 不 错 ， 因 
此 在 几乎 所 有 的 情况 下 ， 事 实 上 就 都 这 样 处 理 了 。 在 Linux(2.0.30， 双 Pentium pro 166/128M 
RAM) 下 的 测试 显示 ， 对 单 socket， 串 行 化 比 不 串 行 化 每 秒 钟 可 以 处 理 的 请 求 少 了 不 到 3%， 但 
是 ， 不 串 行 化 对 每 一 个 请 求 多 了 人 额外 的 100ms 的 延迟 ， 此 延迟 可 能 是 因为 长 距离 的 网 络 线路 

所 致 ， 并 且 信 发 生 在 LAN 中 。 如 果 需 要 改变 对 单 socket 的 串 行 化 ， 可 以 定 

3L SINGLE LISTEN UNSERIALIZED ACCEPT ， 使 单 socket 的 服务 器 彻底 放弃 串 行 化 。 


延迟 的 关闭 


1E Sfldraft-ietf-http-connection-00.txt section 8 所 述 ，HTTP 服 务 器 为 了 可 靠 地 实现 此 协议 ， 需 
要 单独 地 在 每 个 方向 上 关闭 通讯 (重申 一 下 ， 一 个 TCP 连 接 是 双向 的 ， 两 个 方向 之 间 是 独立 
的 )。 在 这 一 点 上 ， 其 他 服务 器 经 常 歼 衍 了 事 ， 但 从 1.2 版 本 开始 被 Apache 正 确实 现 了 。 


但 是 增加 了 此 功能 以 后 ， 由 于 一 些 Unix 版 本 的 短 见 ， 随 之 也 出 现 了 许多 问题 。TCP 规 范 并 没 
有 规定 FIN_WAIT_2 必须 有 一 个 超时 ， 但 也 没有 明确 禁止 。 在 没有 超时 的 系统 中 ，Apache1.2 
经 常会 陷于 FIN_wAIT_2 状态 中 。 多 数 情况 下 ， 这 个 问题 可 以 用 供应 商 提供 的 TCP/IP 补 丁 予以 
解决 。 而 如 果 供 应 商 不 提供 补丁 ( 指 SunOS4 -- 尽管 用 户 们 持 有 人 允许 自己 修补 代码 的 许可 证 )， 
那么 只 能 关闭 此 功能 。 


实现 的 方法 有 两 种 ， 其 一 是 socket 选 项 so_LINGER ， 但 是 似乎 命中 注定 ， 大 多 数 TCP/IP 栈 都 
从 未 予以 正确 实现 。 即 使 在 正确 实现 的 栈 中 ( 指 Linux2.0.31)， 此 方法 也 被 证 明 其 代价 比 下 一 种 
方法 高 昂 。 

Apache xt IL B^] 3z si (X «3 X e fur TF ER RE lingering_close (位 于 http main.c ) 中 。 ERRAN 
如 : 


void lingering close (int s) 
x 
char junk buffer[2048]; 
/* shutdown the sending side */ 
shutdown (s, 1); 
signal (SIGALRM, lingering death); 
alarm (30); 
for (;;) { 
select (s for reading, 2 second timeout); 
if (error) break; 
if (s is ready for reading) { 
if (read (s, junk buffer, sizeof (junk buffer)) <= 0) { 


break; 


j 


/* just toss away whatever is here */ 
j 
j 


close (s); 


此 代码 在 连接 结束 时 多 了 一 些 开 销 ， 但 这 是 可 靠 实 现 所 必须 的 。 由 于 HTTP/1.1 越 来 越 流 行 ， 
而 且 所 有 连接 都 是 稳定 的 ， 此 开销 将 由 更 多 的 请 求 共同 分 担 。 如 果 你 要 玩 火 去 关闭 这 个 功 
能 ， 可 以 定义 No_LINGCLOSE ， 但 绝 不 推荐 这 样 做 。 尤 其 是 ， 随 着 HTTP/1.1 中 管道 化 稳定 连接 
BY GFA, lingering close 已 经 成 为 绝对 必须 。 而 且 ， 管 道 化 连接 速度 更 快 ， 应 该 考虑 予以 支 
持 。 


Scoreboard 文件 


Apache 父 进程 和 子 进 程 通过 scoreboard 进 行 通讯 。 通 过 共享 内 存 来 实现 当然 是 最 理想 的 。 在 

我 们 鲁 经 实践 过 或 者 提供 了 完整 移植 的 操作 系统 中 ， 都 使 用 共享 内 存 ， 其 余 的 则 使 用 磁盘 文 

件 。 磁 瘟 文 件 不 仅 速 度 慢 ， 而 且 不 可 靠 (功能 也 少 )。 仔 细 阅 读 你 的 体系 所 对 应 

的 src/main/conf.h 文件 ， 并 查找 usE MMAP scoREBOARD 或 UsE sHMGET SCOREBOARD 。 定 义 其 中 
之 一 (或 者 分 别 类 似 HAVE_MMAP 和 HAVE_SHMGET)， 可 以 使 共享 内 容 的 相关 代码 生效 。 如 

果 你 的 系统 提供 其 他 类 型 的 共享 内 容 ， 则 需要 修改 src/main/http main.c 文件 ， 并 把 必需 的 挂 
钩 添加 到 服务 器 中 。( 也 请 发 送 一 个 补丁 给 我 们 ) 


注意 : 在 对 Linux 的 Apache1.2 移 植 版 本 之 前 ， 没 有 使 用 内 存 共享 ， 此 失误 使 Apache 的 早期 版 
本 在 Linux 中 表现 很 差 。 


DYNAMIC MODULE LIMIT 


如 果 你 不 想 使 用 动态 加 载 模块 (或 者 是 因为 看 见 了 这 段 话 ， 或 者 是 为 了 获得 最 后 一 点 点 性 能 上 
的 提高 )， 可 以 在 编译 服务 器 时 定义 -DDYNAMIC_MODULE_LIMIT=0 ， 这 样 可 以 节省 为 支持 动态 加 
载 模块 而 分 配 的 内 存 。 


附录 : 蹊 迹 的 详细 分 析 
在 Solaris8 的 MPM 中 ，Apache2.0.38 使 用 一 个 系统 调用 以 收集 踪迹 : 


truss -l -p «var class="calibre40">httpd_child_pid</var>. 


-1 参数 使 truss 记 录 每 个 执行 系统 调用 的 LWP(lightweight process--Solaris 核 心 级 线程 ) 的 
ID, 


其 他 系统 可 能 使 用 不 同 的 系统 调用 追踪 工具 ， 诸 如 strace, ktrace ，par ， 其 输出 都 是 相似 
的 。 


下 例 中 ， 一 个 客户 端 向 httpd 请 求 了 一 个 10KB 的 静态 文件 。 对 非 静 态 或 内 容 协商 请 求 的 记录 会 
有 很 大 不 同 ( 有 时 也 很 难看 明白 )。 


/67: accept(3, 0x00200BEC, 0x00200COC, 1) (sleeping.. E 
/67: accept(3, 0x00200BEC, 0x00200COC, 1) = 9 


下 例 中 ， 监 听 线 程 是 LWP 67. 


注意 对 accept() 串 行 化 支持 的 甘 乏 。 与 这 个 特殊 平台 对 应 的 MPM 在 默认 情况 下 使 用 非 串 行 的 
accept ， 除 了 在 监听 多 个 端口 的 时 候 。 


/65: lwp park(0x00000000, 0) 
/67: lwp unpark(65, 1) 


e 


接受 了 一 个 连接 后 ， 监 听 线 程 唤 醒 一 个 工作 线程 以 处 理 此 请 求 。 下 例 中 ， 人 处 理 请 求 的 那个 工 
作 线 程 是 LWP #65 。 


/65: getsockname(9, 0x00200BA4, Ox00200BC4, 1) = 0 


为 了 实现 虚拟 主机 ，Apache 需 要 知道 接受 连接 的 本 地 socket 地 址 。 在 许多 情况 下 ， 有 可 能 无 
须 执行 此 调用 (比如 没有 虚拟 主机 ， 或 者 Listen 指令 中 没有 使 用 通 配 地 址 )， 但 是 目前 并 没有 
对 此 作 优 化 处 理 。 


e 


/65: brk(0x002170E8) 
/65: brk(0x002190E8) 


此 orko 调用 是 从 堆 中 分 配 内 存 的 ， 它 在 系统 调用 记录 中 并 不 多 见 ， 因 为 httpd 在 多 数 请 求 处 
理 中 使 用 了 自己 的 内 存 分 配器 ( apr pool 和 apr bucket alloc ) FI, httpda a) Ba, AR 
以 它 必须 调用 malloc() 以 分 配 原始 内 存 块 用 于 自己 的 内 存 分 配器 。 


/65 : fcntl(9, F GETFL, 0x00000000) -2 

/65: fstat64(9, OXFAF7B818) = 0 

/65 : getsockopt(9, 65535, 8192, OxFAF7B918, OxFAF7B910, 2190656) = 0 
/65: fstat64(9, OXFAF7B818) = 0 

/65 : getsockopt(9, 65535, 8192, OxFAF7B918, OxFAF7B914, 2190656) = 0 
/65: setsockopt(9, 65535, 8192, OxFAF7B918, 4, 2190656) = 0 

/65: fcntl(9, F SETFL, 0x00000082) = 0 


接着 ， 工 作 线程 使 客 户 端 连 接 欠 于 非 阻 塞 模式 。 setsockopt() 和 getsockopt() 调用 是 Solaris 
的 libc 对 socket 执 行 fcnti() 所 必须 的 。 


/65 : read(9, "GET /10k.htm".., 8000) - 97 


工作 线程 从 客户 端 读 取 请 求 。 


/65 : stat("/var/httpd/apache/httpd-8999/htdocs/10k.html", OXFAF7B978) = 0 
/65 : open("/var/httpd/apache/httpd-8999/htdocs/10k.html", O RDONLY) = 10 


这 里 ，httpd 被 配置 为 ”options FollowSymLinks "#0" AllowOverride None "。 所 以 ， 无 须 对 每 个 
被 请 求 文件 路 径 中 的 目录 执行 lstat() ， 也 不 需要 检查 htaccess 文件， 它 简单 地 调 
用 stat() 以 检查 此 文件 是 否 存 在 ， 以 及 是 一 个 普通 的 文件 还 是 一 个 目录 。 


/65: sendfilev(0, 9, 0x00200F90, 2, OXFAF7B53C) = 10269 


此 例 中 ，httpd 可 以 通过 单个 系统 调用 sendfilev() 发 送 HTTP 响 应 头 和 被 请 求 的 文件 。 
Sendfile 因 操作 系统 会 有 所 不 同 ， 有 些 系统 中 ， 在 调用 sendfile() 以 前 ， 需 要 调 
用 write() 或 writev() 以 发 送 响 应 头 。 
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此 write() 调用 在 访问 日 志 中 对 请 求 作 了 记录 。 注 意 ， 其 中 没有 对 timer) 的 调用 的 记录 。 与 
Apache1.3 不 同 ，Apache2.0 使 用 gettimeofday() 以 查询 时 间 。 在 有 些 操作 系统 中 ， 比 如 
Linux 和 Solaris， gettimeofday 有 一 个 优化 的 版 本 ， 其 开销 比 一 个 普通 的 系统 调用 要 小 一 点 。 


/65 : shutdown(9, 1, 1) = 0 

/65 : poll(OxFAF7B980, 1, 2000) E 

/65: read(9, OxFAF7BC20, 512) = 0 

/65 : close(9) = 0 
工作 线程 对 连接 作 延 迟 的 关闭 。 

/65 : close(10) = 0 


/65: lwp park(0x00000000, 0) (sleeping...) 


最 后 ， 工 作 线 程 关 闭 发 送 完 的 文件 和 块 ， 直 到 监听 进程 把 它 指派 给 另 一 个 连接 。 


/67: accept(3, Ox001FEB74, Ox001FEB94, 1) (sleeping...) 


其 间 ， 监 听 进 程 可 以 在 把 一 个 连接 指派 给 一 个 工作 进程 后 立即 接受 另 一 个 连接 (但 是 如 果 所 有 
工作 进程 都 处 于 忙碌 状态 ， 则 会 受 MPM 中 的 一 些 浴 出 控制 巡 辑 的 制约 )。 虽 然 在 此 例 中 并 不 明 
显 ， 在 工作 线程 刚 接受 了 一 个 连接 之 后 ， 下 一 个 accept() 会 (在 高 负荷 的 情况 下 更 会 ) 立 即 并 
行 产生 。 
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Originally written by «cite class="calibre27">Ralf S. Engelschall <rse@apache.org></cite> 
December 1997 


本 文 是 mod rewrite 的 人 参考 文档 ， 阅 述 在 实际 应 用 中 如 何 解 决 网 管 所 面临 的 基于 URL 的 典型 问 
题 ， 并 详细 描述 了 如 何 配置 URL 重 写 规 则 集 以 解决 问题 。 


mod_rewrite 简介 


Apache 的 mod_rewrite 是 提供 了 强大 URL 操 作 的 杀手 级 的 模块 ， 可 以 实现 几乎 所 有 你 梦想 的 
URL 操 作 类 型 ， 其 代价 是 你 必须 接受 其 复杂 性 ， 因 为 mod_rewrite 的 主要 障碍 就 是 初学 者 不 容 
易 理解 和 运用 ， 即 使 是 Apache 专 家 有 时 也 会 发 掘 出 mod_rewrite 的 新 用 途 。 换 句 话 说 : 对 

于 mod_rewrite ， 或 者 是 打 退 堂 鼓 永 不 再 用 ， 或 者 是 喜欢 它 并 一 生 受 用 。 本 文 试图 通过 对 已 有 
方案 的 表述 来 创造 一 个 成 功 的 开端 ， 以 免 你 放弃 。 


实践 方案 
我 自己 创造 和 收集 了 许多 实践 方案 ， 不 要 有 蝴 惧 心理 ， 从 这 些 例子 开始 学 习 URL 重 写 的 黑 匣 
子 吧 。 


注意 : 根据 你 的 服务 器 配置 ， 可 能 有 必要 对 例子 作 些微 修改 ， 上 比如 ， 新 启 
用 mod_alias 和 mod_userdir 时 要 增加 [PT] 标 志 ， 或 者 重 写 .htaccess 而 不 是 单个 服务 器 中 的 规 
则 集 。 对 一 个 特定 的 规则 集 应 该 先 透 彻 理解 然后 再 考虑 应 用 ， 这 样 寺 能 避免 出 现 问 题 。 


URL 的 规划 


规 荡 的 URL 
说 明 : 


在 有 些 web 服 务 器 上 ， 一 个 资源 会 拥有 多 个 URL， 在 实际 应 用 和 发 布 中 应 该 被 使 用 的 是 规范 的 
URL， 其 他 的 则 是 简写 或 者 只 在 内 部 使 用 。 无 论 用 户 在 请 求 中 使 用 什么 形式 的 URL， 他 最 终 
看 见 的 都 应 该 是 规范 的 URL。 


见 
方案 : 


对 所 有 不 规范 的 URL 执 行 一 个 外 部 HTTP 重 定向 ， 以 改变 它 在 浏览 器 地 址 栏 中 的 显示 及 其 后 继 
请 求 。 下 例 中 的 规则 集 用 规范 的 /u/user 替 换 /~user， 并 修正 了 /u/user 所 遗漏 的 后 绥 斜 杠 。 


RewriteRule — ^/**-**([^/]4)/?(.*) /**u**/$1/$2 [**R**] 
RewriteRule — ^/([uge])/(**[^/]4**)$ /$1/$2**/**  [**R**] 


规范 的 主机 名 
说 明 : 


这 个 规则 的 目的 是 强制 使 用 特定 的 主机 名 以 代替 其 他 名 字 。 比 如 ， 你 想 强 制 使 用 
www.example.com {È example.com ， 就 可 以 在 以 下 方法 的 基础 上 进行 修改 : 


方案 : 


# 针对 运行 在 非 89 端 口 的 站 点 

RewriteCond %{HTTP_HOST} !Afully\.qualified\.domain\.name [NC] 

RewriteCond %{HTTP_HOST} IAG 

RewriteCond %{SERVER_PORT} !^80$ 

RewriteRule ^/(.*) http://fully.qualified.domain.name:%{SERVER_PORT}/$1 [L,R] 


# 对 一 个 运行 在 89 端 口 的 站 点 
RewriteCond %{HTTP_HOST} !Afully\.qualified\.domain\.name [NC] 


RewriteCond %{HTTP_HOST} I^$ 
RewriteRule ^/(.*) http://fully.qualified.domain.name/$1 [L,R] 


移动 过 的 DocumentRoot 
说 明 : 


通常 ，web 服 务 器 的 DocumentRoot 直接 对 应 于 URL"/"， 但 是 ， 它 常常 不 是 处 于 最 高 一 级 ， 而 
可 能 只 是 众多 数据 池 中 的 一 个 实体 。 上 比如 ， 在 Intranet 站 点 中 ， 有 /e/www/(WWW 的 主 

页 )、/e/sww/(Intranet 的 主页 ) 等 等 ， 而 DocumentRoot 指向 了 /e/www/， 则 必须 保证 此 数据 池 中 
所 有 内 惧 的 图 片 和 其 他 元 素 对 后 继 请 求 有 效 。 


方案 : 


nu 


只 须 重 定向 URL'"/" 到 "e/www/" 即 可 。 这 个 方案 看 起 来 很 简单 ， 但 只 是 因为 有 了 mod_rewrite 模 
块 的 支持 ， 它 才 简 单 ， 因 为 传统 的 URL Aliases 机 制 (由 mod _ alias 及 其 相关 模块 提供 ) 只 是 作 了 
一 个 前 级 匹配 ，DocumentRoot 是 一 个 对 所 有 URL 的 前 级 ， 因 而 无 法 实现 这 样 的 重 定向 。 而 用 
mod_rewrite 的 确 很 简单 : 


RewriteEngine on 
RewriteRule **^/$**  /e/www/  [**R**] 
注意 ， 也 可 以 通过 RedirectMatch 指令 达到 这 个 目的 : 


RedirectMatch ^/$ http://example.com/e/www/ 


级 和 斜 杠 的 问题 


说 明 : 


每 个 网 管 对 引用 目录 后 级 斜 杠 的 问题 都 有 一 本 苦 经 ， 如 果 遗 漏 了 ， 服 务 器 会 产生 一 个 错误 ， 
因为 如 果 请 求 是 /~quux/foo 而 不 是 /~quux/foo/ ， 服 务 器 就 会 去 找 一 个 叫 foo 的 文件 ， 而 它 是 一 
个 目录 ， 所 以 就 报错 了 。 事 实 上 ， 大 多 数 情况 下 ， 它 自己 会 试图 修正 这 个 错误 ， 但 是 有 时 候 
需要 你 手工 纠正 ， 上 比如， 在 重 写 了 许多 CGI 脚 本 中 的 复杂 的 URL 以 后 。 


方案 : 


解决 这 个 微妙 问题 的 方案 是 让 服务 器 自动 添加 后 缀 斜 枉 。 对 此 ， 必 须 使 用 一 个 外 部 重 定向 ， 
使 浏览 器 正确 地 处 理 后 继 的 对 诸如 图 片 的 请 求 。 如 果 仅 仅 作 一 个 内 部 重 宇 ， 可 能 只 对 目录 页 
面 有 效 ， 而 对 内 冤 有 使 用 相对 URL 的 图 片 的 页 面 无 效 ， 因 为 浏览 器 有 请 求 内 嵌 目 标的 可 能 。 
比如 ， 如 果 不 用 外 部 重 定向 ，/~quux/foo/index.html 页 面 中 对 image.gif 的 请 求 ， 其 结果 将 
是 /~quux/image.gif 


所 以 ， 应 该 这 样 写 : 


RewriteEngine on 
RewriteBase /-quux/ 
RewriteRule AOO EP OO Rl| 


又 懒 又 疯狂 的 做 法 是 把 这 些 写 入 其 宿主 目录 中 的 顶级 .htaccess 中 ， 但 是 须 注 意 ， 如 此 会 带 来 
一 些 处 理 上 的 开销 。 


RewriteEngine on 


RewriteBase /-quux/ 
RewriteCond 9:(REQUEST FILENAME)  **-d** 
RewriteRule ^(.***[^/]**)$ $1**/** [R] 


集群 网 站 的 同类 URL 规 划 

说 明 : 

我 们 希望 在 一 个 Intranet 集 群 网 站 中 ， 对 所 有 WWW 服 务 器 建立 一 致 的 URL 规 划 ， 也 就 是 说 ， 
所 有 的 URL( 针 对 每 个 服务 器 进行 本 地 配置 ， 因 此 是 独立 于 各 个 服务 器 的 ) 实 际 上 都 是 独立 于 各 
个 服务 器 的 ! 我 们 需要 的 是 一 个 具有 独立 于 各 个 服务 器 的 一 致 性 规划 的 WWW 名 称 空间 ， 即 
URL 不 需要 包含 物理 目标 服务 器 ， 而 由 集群 本 身 来 自动 定位 物理 目标 主机 。 


方案 : 


首先 ， 目 标 服务 器 的 信息 来 自 ( 产 生 ) 于 包含 有 用 户 、 组 以 及 实体 的 外 部 地 图 ， 其 格式 形 如 : 


user1 server of useri 
user2 server of user2 


这 些 信息 被 存 人 map.xxx-to-host 文 件 。 其 次 ， 如 果 URL 在 一 个 服务 器 上 无 效 ， 需 要 引导 所 有 
的 服务 器 重 定向 URL 


/u/user/anypath 
/g/group/anypath 
/e/entity/anypath 


http://physical-host/u/user/anypath 
http://physical-host/g/group/anypath 
http://physical-host/e/entity/anypath 


以 下 规则 集 依靠 映射 文件 来 完成 这 个 操作 (假定 ， 如 果 一 个 用 户 在 映射 中 没有 对 应 的 项 ， 则 使 
用 server0 为 默认 服务 器 ) : 


RewriteEngine on 

RewriteMap user-to-host txt:/path/to/map.user-to-host 

RewriteMap group-to-host txt:/path/to/map.group-to-host 

RewriteMap entity-to-host txt:/path/to/map.entity-to-host 

RewriteRule AA S2 (C IE lise) Eie http://**${user-to-host:$1]|serverO}**/u/$1/$2 
RewriteRule ^/g/**([^/]-)**/?(.*) http://**${group-to-host:$1]server0}**/g/$1/$2 
RewriteRule ^/e/**([^/]-)**/?(.*) http://**$f{entity-to-host:$1]server0}**/e/$1/$2 


RewriteRule ^/([uge])/([^/]*)/?$ /$1/$2/ .www/ 
RewriteRule ^/([uge])/([^/]1-)/([^. ] *. *) /$1/$2/ .www/$3N 


移动 用 户主 目录 到 不 同 的 web 服 务 器 
说 明 : 


通常 ， 许 多 网 管 在 建立 一 个 新 的 web 服 务 器 时 ， 都 会 有 这 样 的 要 求 : 重 定向 一 个 Web 服务 器 上 
的 所 有 用 户主 目录 到 另 一 个 Web 服 务 器 。 


方案 : 


很 简单 ， 在 老 的 web 服 务 器 上 重 定向 所 有 的 


URL"/-user/anypath"Sl|http://newserver/-user/anypath 


RewriteEngine on 
RewriteRule A/~(.+) http://**newserver**/-$1  [R,L] 


结构 化 的 用 户主 目录 


说 明 : 


一 些 拥有 几 千 个 用 户 的 网 站 通常 都 使 用 结构 化 的 用 户主 目录 规划 ， 即 每 个 用 户主 目录 位 于 一 
个 带 有 特定 前 级 ， 上 比如 其 用 户 名 的 第 一 个 字符 的 子 目录 下 : /~foo/anypath 代 

表 /home/f/foo/.www/anypath， 而 /~bar/anypath 代 表 /home/b/bar/.www/anypath 

方案 : 


可 以 使 用 下 列 规则 集 来 扩展 ~ 以 达到 上 述 目的 。 


RewriteEngine on 
RewriteRule A/~(**([a-z])**[a-z0-9]+)(.*) /home/**$2**/$1/.www$3 


文件 系统 的 重组 
说 明 : 


这 是 一 个 不 加 雕琢 的 例子 : 一 个 大 量 使 用 针对 目录 的 规则 集 以 实现 平滑 的 观感 ， 并 且 从 来 不 
用 调整 数据 结构 的 杀手 级 的 应 用 。 背 景 : net.sw 从 1992 年 开始 ， 存 放 了 我 收集 的 免费 Unix 软 
件 包 。 它 是 我 的 爱好 也 是 我 的 工作 ， 因 为 在 学 习 计 算 机 科学 的 同时 ， 业 余 时 间 还 做 了 多 年 的 
系统 和 网 络 管理 员 。 每 周 我 都 需要 整理 软件 ， 因 而 建立 了 一 个 层次 很 深 的 目录 结构 来 存放 各 
种 软件 包 : 


drwxrwxr -x 2 netsw users 512 Aug 3 18:39 Audio/ 
drwxrwxr -x 2 netsw users 512 Jul 9 14:37 Benchmark/ 
drwxrwxr-x 12 netsw users 512 Jul 9 00:34 Crypto/ 
drwxrwxr -x 5 netsw users 512 Jul 9 00:41 Database/ 
drwxrwxr -x 4 netsw users 512 Jul 30 19:25 Dicts/ 
drwxrwxr-x 10 netsw users 512 Jul 9 01:54 Graphic/ 
drwxrwxr -x 5 netsw users 512 Jul 9 01:58 Hackers/ 
drwxrwxr -x 8 netsw users 512 Jul 9 03:19 InfoSys/ 
drwxrwxr -x 3 netsw users 512 Jul 9 03:21 Math/ 
drwxrwxr -x 3 netsw users 512 Jul 9 03:24 Misc/ 
drwxrwxr -x 9 netsw users 512 Aug 1 16:33 Network/ 
drwxrwxr -x 2 netsw users 512 Jul 9 05:53 Office/ 
drwxrwxr -x 7 netsw users 512 Jul 9 09:24 SoftEng/ 
drwxrwxr -x 7 netsw users 512 Jul 9 12:17 System/ 
drwxrwxr-x 12 netsw users 512 Aug 3 20:15 Typesetting/ 
drwxrwxr-x 10 netsw users 512 Jul 9 14:08 X11/ 


1996 年 7 月 ， 我 决定 通过 一 个 漂亮 的 Web 接 口 公 开 我 的 收藏 。 "漂亮 "是 指 提供 一 个 接口 以 直接 
浏览 整个 目录 结构 ， 同 时 不 对 这 个 结构 做 任何 改变 ， 甚 至 也 不 在 结构 顶部 放置 CGI 脚本 。 为 什 
LE? 因为 这 个 结构 还 要 能 够 被 FTP 访 问 ， 而 且 我 不 希望 其 中 有 任何 Web 或 者 CGI 成 分 。 


方案 : 


这 个 方案 分 为 两 个 部 分 : 第 一 个 部 分 ， 是 用 于 在 空闲 时 间 建 立 所 有 目录 页 面 的 CGI 脚本 集 。 我 
把 它们 放 在 /e/netsw/.www/， 如 下 : 


-rw-r--r-- 1 netsw users 1318 
drwxr-xr-x 18 netsw users 512 
-rw-rw-rw- 1 netsw users 372982 
-rw-r--r-- 1 netsw users 659 
-rw-r--r-- 1 netsw users 5697 
-rwxr -xr-x 1 netsw users 579 
-rwxr -xr-x 1 netsw users 1532 
-rwxr-xr-x 1 netsw users 2866 
drwxr-xr-x 2 netsw users 512 
-rwxr -xr-x 1 netsw users 24050 
-rwxr -xr-x 1 netsw users 1589 
-rwxr -xr-x 1 netsw users 1885 
-rw-r--r-- 1 netsw users 234 


其 中 的 "DATA" 子 目录 包含 了 上 述 目录 结构 ， 即 实在 的 net.sw ， 由 rdist 在 需 


Aug 1 18: 
Aug 5 15: 
Aug 5 16: 
Aug 4 09: 
Aug 1 18: 
Aug 2 10: 
Aug 1 17: 
Aug 5 14: 
Jul 8 23: 
Aug 5 15: 
Aug 3 18: 
Aug 1 17 
Jul 30 16: 


i. 第 二 个 部 分 的 遗留 问题 是 : 如 何 连 接 这 两 个 4 


行 适 当 的 CGI 脚本 而 使 用 各 种 URL 的 时 候 ， 使 用 户 感觉 


10 
51 
35 
27 
01 
33 
35 
49 
47 
49 
43 


141 


35 


.wwwacl 

DATA/ 

LOGFILE 

TODO 
netsw-about.html 
netsw-access.pl 
netsw-changes.cgi 
netsw-home.cgi 
netsw-img/ 
netsw-lsdir.cgi 
netsw-search.cgi 
netsw-tree.cgi 
netsw-unlimit.lst 


的 时 候 自动 更 


吉 构 为 一 个 平滑 观感 的 URL 树 ? 我 希望 在 运 


到 "DATA" 目 录 的 存在 。 


方案 如 下 : 


首先 ， 我 把 下 列 配置 放 在 服务 器 上 DocumentRoot 中 针对 目录 的 配置 文件 里 ， 重 写 公 布 的 


URL"/net.sw/" 为 


第 一 


ig 


N 


duo. 
3. 注意 最 后 一 


内 部 路 径 "/e/netsw" 


RewriteRule net.sw/ 


RewriteRule 


^net.sw$ 
^net.sw/(.*)$ 


[R] 


e/netsw/$1 


条 规则 是 针对 遗漏 后 级 斜 杠 的 请 求 的 ! 第 二 
在 针对 目录 的 配置 文件 /e/netsw/.www/.wwwacl 中 的 杀手 级 的 配置 了 : 


Options 
RewriteEngine on 


# 我 们 通过 "/net .sw/" 前 级 到 达 
RewriteBase /net.sw/ 





# 首先 重 写 根 目 录 到 cgi 处 理 脚本 
RewriteRule ^$ 
RewriteRule ^indexN.html$ 





# “ 当 浏 览 器 请 求 perdir 页 面 时 剥 去 子 目录 
RewriteRule A.+/(netsw-[A/]+/.+)$ 


# 现在 打 断 本 地 文件 的 重 写 


RewriteRule ^netsw-homeN.cgi.* 
RewriteRule ^netsw-changesN.cgi.* 
RewriteRule ^netsw-searchN.cgi.* 
RewriteRule ^netsw-treeN.cgi$ 
RewriteRule ^netsw-aboutN.html$ 
RewriteRule ^netsw-img/.*$ 


条 规则 才 是 真正 实 


ExecCGI FollowSymLinks Includes MultiViews 


netsw-home.cgi [L] 
netsw-home.cgi [L] 


$1 


# 任何 别 的 东西 都 是 一 个 由 另 一 个 cgi 脚 本 处 理 的 子 目录 


RewriteRule !Anetsw-lsdir\.cgi.* 
RewriteRule (55) 
ie tim E 
TETES : 
注意 前 半 部 分 中 的 标志 L( 最 后 )， 


注意 后 半 部 分 中 的 符号 !( 非 )， 
条 规则 的 全 匹配 模式 


~ 


netsw-lsdir.cgi/$1 


和 无 对 应 项 ("-") 
和 标志 C ( 链 ) 


R 现 功能 的 。 接 着 ， 


就 是 放 


NCSA 图 像 映射 和 mod imap 


说 明 : 


许多 人 都 希望 在 从 NCSA web 服 务 器 向 较 现 代 的 Apache web 服 务 器 转移 中 实现 平滑 过 
望 老 的 NCSA 图 像 映 射程 序 能 在 Apache 的 较 现代 的 mod imagemap 支持 下 正常 运作 。 


ii, B 
但 问题 


在 于 ， 到 处 都 是 通过 /cgi-bin/imagemap/path/to/page.map 引 用 imagemap 程 序 的 连接 ， 而 在 


Apache 下 ， 应 该 写成 /path/to/page.map 
方案 : 
使 用 全 局 规则 在 传输 过 程 中 去 除 所 有 这 些 请 求 的 前 级 


RewriteEngine on 
RewriteRule ^/cgi-bin/imagemap(.*) $1 [PT] 


在 多 个 目录 中 搜索 页 面 


说 明 : 

有 时 会 有 必要 使 web 服 务 器 在 多 个 目录 中 搜索 页 面 ， 对 此 ，MultiViews 或 者 其 他 技术 无 能 
力 。 

方案 : 


编制 一 个 明确 的 规则 集 以 搜索 目录 中 的 文件 。 


RewriteEngine on 


4 首先 尝试 在 custom/.. .中 寻找 


RewriteCond /your/docroot/**dir1**/%{REQUEST_FILENAME} 


RewriteRule ^(.+) /your/docroot/**dir1**/$1 [L] 


# 然后 尝试 在 pub/.. .中 寻找 


RewriteCond /your/docroot/**dir2**/%{REQUEST_FILENAME} 


RewriteRule 人 ^(.+) /your/docroot/**dir2**/$1 [L] 








# 再 找 不 到 就 继续 寻找 其 他 的 ALias 或 ScriptAlias Hi... 
RewriteRule ^(.+) - [PT] 


说 明 : 


如 果 希 望 保持 请 求 之 间 的 状态 信息 ， 又 不 希望 使 用 CGl 来 包装 
中 的 有 用 信息 来 编码 。 


方案 : 


-f 


-f 


RE FIT TR 人 RA, 而 是 只 通 


过 分 离 URL 


可 以 用 一 个 规则 集 来 分 离 出 状态 信息 ， 并 设置 环境 变量 以 备 此 后 用 于 XSSI 或 CGI 。 这 样 ， 一 
个 "/foo/S=java/bar" 的 URL 会 被 解析 为 /foo/bar/ ， 而 环境 变量 STATUS 则 被 设置 为 "ava"。 


RewriteEngine on 
RewriteRule — ^(.*)/**Sz([^/]*)**/(.*) $1/$3 [E-**STATUS:$2**] 


虚拟 用 户主 机 
说 明 : 


如 果 需 要 为 用 户 username 支 持 一 个 www.username.host.domain.com 的 主页 ， 但 不 是 用 在 此 
机 器 上 建 虚拟 主机 的 方法 ， 而 是 用 反 在 此 机 器 上 增加 一 个 DNS 记 录 的 方法 实现 。 


方案 : 


对 HTTP/1.0 的 请 求 ， 这 是 无 法 实现 的 ; 但 是 对 HTTP/1.1 的 在 HTTP 头 中 包含 有 主机 名 的 请 
求 ， 可 以 用 以 下 规则 集 来 内 部 地 重 写 http://www.username.host.com/anypath 
为 /home/username/anypath 


RewriteEngine on 

RewriteCond %{**HTTP_HOST**} Awww\.**[A.]+**\.host\.com$ 
RewriteRule ^(.*) 96(HTTP. HOST) $1 [C] 
RewriteRule ^wwwN.**([^.]-)**N.hostN.com(.*) /home/**$1**$2 


为 外 来 访问 者 重 定向 用 户主 目录 
说 明 : 


对 不 是 来 自 本 地 域 ourdomain.com 的 外 来 访问 者 的 请 求 ， 重 定向 其 用 户主 目录 URL 到 另 一 个 
Web 服务 器 www.somewhere.com ， 有 时 这 种 做 法 也 会 用 在 虚拟 主机 的 配置 段 中 。 


方案 : 


只 须 一 个 重 写 条 件 : 


RewriteEngine on 
RewriteCond %{REMOTE_HOST} **!4.+\.ourdomain\.com$** 
RewriteRule A(/~.+) http://www.somewhere.com/$1 [R,L] 


重 定向 失败 的 URL 到 其 他 web 服 务 器 
说 明 : 


如 何 重 写 URL 以 重 定向 对 web 服 务 器 A 的 失败 请 求 到 服务 器 B， 是 一 个 常见 的 问题 。 一 般 ， 可 
以 用 Perl 写 的 CGI 脚本 通过 ErrorDocument 来 解决 ， 此 外 ， 还 有 mod_rewrite 方案 。 但 是 须 注 
意 ， 这 种 方法 的 执行 效率 不 如 用 Errorbocument 的 CGI 脚本 ! 


方案 : 


第 一 种 方案 ， 有 最 好 的 性 能 而 灵活 性 欠 佳 ， 出 错 概率 小 所 以 安全 : 


RewriteEngine on 
RewriteCond /your/docroot/%{REQUEST_FILENAME} **!-f** 


RewriteRule ^(.*) http://**webserverB**.dom/$1 
但 其 问题 在 于 ， 它 只 对 位 于 DocumentRoot 中 的 页 面 有 效 。 虽然 可 以 增加 更 多 的 条 件 (比如 同 


是 
时 还 处 理 用 户主 目录 ， 等 等 )， 但 是 还 有 一 个 更 好 的 方法 : 


RewriteEngine on 
RewriteCond %{REQUEST_URI} **!-U** 
RewriteRule ^(.*) http://**webserverB**.dom/$1 


这 种 方法 使 用 了 mod_rewrite 提供 的 "向 前 参照 "look-ahead) 的 功能 ， 是 一 种 对 所 有 URL 类 型 
都 有 效 而 且 安全 的 方法 。 但 是 ， 对 web 服 务 器 的 性 能 会 有 影响 ， 所 以 如 果 web 服 务 器 有 一 个 强 
大 的 CPU， 那 就 用 这 个 方法 。 而 在 慢 速 机 器 上 ， 可 以 用 第 一 种 方法 ， 或 者 用 性 能 更 好 

的 ErrorDocument CGI 脚 本 。 


扩展 的 重 定 向 


说 明 : 

有 时 候 ， 我 们 会 需要 更 多 的 对 重 定向 URL 的 (有 关 字 符 转 义 机 制 方面 的 ) 控 制 。 通 常 ，Apache 
内 核 中 的 URL 转 义 函 数 uri_escape() 同 时 还 会 对 锚 (anchor) 转 义 ， 即 类 似 "url#anchor" 的 URL， 
因此 ， 你 不 能 用 mod rewrite 对 此 类 URL 直 接 重 定向 。 那 么 如 何 实现 呢 ? 


方案 : 


必须 用 NPH-CGI 脚 本 使 它 自己 重 定 向 ， 因 为 对 NPH( 无 须 解析 的 HTTP 头 ) 不 会 发 生 转 义 操 作 。 
首先 ， 在 针对 服务 器 的 配置 中 (应 该 位 于 所 有 重 写 规则 的 最 后 )， 引 入 一 种 新 的 URL 类 


型 "xredirect:" : 


RewriteRule ^xredirect:(.+) /path/to/nph-xredirect.cgi/$1 \ 
[T-application/x-httpd-cgi,L] 


以 强制 所 有 带 "xredirect:" 前 级 的 URL 被 传送 到 如 下 的 nph-xredirect.cgi 程 序 : 


#!/path/to/perl 
THE 
## nph-xredirect.cgi -- NPH/CGI script for extended redirects 


1; 
= $ENV{'PATH_INFO'}; 


print "HTTP/1.0 302 Moved Temporarily\n"; 

print "Server: $ENV{'SERVER_SOFTWARE'}\n"; 

print "Location: $url\n"; 

print "Content-type: text/html\n"; 

print "\n"; 

print "&lt;html&gt;\n"; 

print "&lt;head&gt;\n"; 

print "&lt;title&gt;302 Moved Temporarily (EXTENDED)&lt;/title&gt;\n"; 
print "&lt;/head&gt;\n"; 

print "&lt;body&gt;\n"; 

print "&lt;hi&gt;Moved Temporarily (EXTENDED)&lt;/hi&gt;\n"; 

print "The document has moved &lt;a HREF=\"$url\"&gt;here&lt;/a&gt; .&1t;p&gt;\n"; 
print "&lt;/body&gt;\n"; 

print "&lt;/html&gt;\n"; 


#HEOFHH 


mo no CUM UMS 包括 不 被 mod rewrite 直接 支持 的 类 型 。 所 以 ， 还 
可 以 这 样 重 定向 "news:newsgroup" 


RewriteRule ^anyurl xredirect:news:newsgroup 


注意 : 无 须 对 上 述 规则 加 [R] 或 [R,L]， 因 为 "xredirect:" 需 要 在 稍 后 被 其 特殊 的 "管道 传送 "规则 扩 
展 。 


文档 访问 的 多 路 复 用 
说 明 : 


你 知道 http://www.perl.com/CPAN 的 CPAN( 综 合 Perl 存 档 网 络 )? 它 实现 了 一 个 重 定向 以 提供 全 
世界 的 CPAN 镜 像 中 离 访 问 者 最 近 的 一 个 FTP 站 点 ， 也 可 以 称 之 为 FTP 访 问 多 路 复 用 服务 。 
CPAN 是 通过 CGI 脚本 实现 的 ， 那 么 用 mod rewrite 如 何 实 现 呢 ? 


方案 : 


首先 ， 我 们 注意 到 mod rewrite 从 3.0.0 版 本 开始 ， 还 可 以 重 写 "ftp:" 类 型 。 其 次 ， 对 客户 端 顶 
级 域名 的 路 径 最 近 的 求 取 可 以 用 RewriteMap 实现 。 利 用 链 式 规则 集 ， 并 用 顶级 域名 作为 查找 
多 路 复 用 地 图 的 键 ， 可 以 这 样 做 : 


RewriteEngine on 

RewriteMap multiplex txt:/path/to/map.cxan 

RewriteRule ^/CXAN/(.*) %{REMOTE_HOST}: :$1 [C] 
RewriteRule ^.*N.**([a-zA-Z]*)**::(.*)$ $[multiplex:**$1**|ftp.default.dom)$2  [R,L] 


4 | 








## map.cxan -- Multiplexing Map for CxAN 


THE 

de ftp://ftp.cxan.de/CxAN/ 
uk ftp://ftp.cxan.uk/CxAN/ 
com ftp://ftp.cxan.com/CxAN/ 
SHEOFZÉ 


依赖 于 时 间 的 重 写 
说 明 : 


在 页 面 内 容 按时 间 不 同 而 变化 的 场合 ， 比 如 重 定向 特定 页 面 ， 许 多 网 管 仍然 采用 CGI 脚本 的 方 
法 ， 如 何 用 mod rewrite 来 实现 呢 ? 


方案 : 


有 许多 类 似 TIME_xxx 的 变量 可 以 用 在 重 写 条 件 中 ， 利 用 "<STRING"," 
>STRING" 和 "=STRING" 的 类 型 比较 ， 并 加 以 连接 ， 就 可 以 实现 依赖 于 时 间 的 重 写 : 


RewriteEngine on 

RewriteCond %{TIME_HOUR}%{TIME_MIN} &gt;0700 
RewriteCond %{TIME_HOUR}%{TIME_MIN} &1t;1900 
RewriteRule ^fooN.html$ foo.day.html 
RewriteRule ^fooN.html$ foo.night.html 


此 例 使 URLfoo.html 在 07:00-19:00 时 指向 foo.day.html ， 而 在 其 余 时 间 ， 则 指向 foo.night.html 
， 对 主页 是 一 个 不 错 的 功能 .… 

对 YYYY 过 渡 为 XXXX 的 向 前 兼容 

说 明 : 


在 转变 了 大 批 .html 文 件 为 .phtml ， 使 文档 .YYYY 过 渡 成 为 文档 .XXXX 后 ， 如 何 保持 URL 的 向 
前 兼容 (仍然 虚拟 地 存在 ) ? 


方案 : 


只 须 按 基准 文件 名 重 写 ， 并 测试 带 有 新 的 扩展 名 的 文件 是 否 存 在 ， 如 果 存 在 ， 则 用 新 的 ， 否 
则 ， 仍 然 用 原来 的 。 


backward compatibility ruleset for 

rewriting document.html to document.phtml 

when and only when document.phtml exists 

but no longer document.html 

RewriteEngine on 

RewriteBase /-quux/ 

4 parse out basename, but remember the fact 

RewriteRule ^(.*)N.html1$ $1 [C, E=WasHTML: yes] 
# rewrite to document.phtml if exists 

RewriteCond %{REQUEST_FILENAME}.phtml -f 


Yk dk dk db 


RewriteRule ^(.*)$ $1.phtml [S71] 
4 else reverse the previous basename cutout 
RewriteCond %{ENV:WasHTML} Ayes$ 


RewriteRule ^(.*)$ $1. html 


内 容 的 义理 
新 旧 URL( 内 部 的 ) 


说 明 : 


假定 已 经 把 文件 bar.html 改名 为 foo.html ， 需 要 对 老 的 URL 向 前 兼容 ， 即 让 用 户 仍然 可 以 
使 用 老 的 URL， 而 感觉 不 到 文件 被 改名 了 。 


方案 : 


通过 以 下 规则 内 部 地 重 写 老 的 URL 为 新 的 : 


RewriteEngine on 
RewriteBase /-quux/ 
RewriteRule ^**foo**N,html$ **bar**. html 


新 旧 URL( 外 部 的 ) 
说 明 : 


仍然 假定 已 经 把 文件 par .html 改名 为 foo.html ， 需 要 对 老 的 URL 向 前 兼容 ， 但 是 要 让 用 户 
得 到 文件 被 改名 的 暗示 ， 即 浏览 器 的 地 址 栏 中 显示 的 是 新 的 URL。 


方案 : 


作 一 个 HTTP 的 强制 重 定向 以 改变 浏览 器 和 用 户 界面 上 的 显示 : 


RewriteEngine on 
RewriteBase /-quux/ 
RewriteRule ^**foo**N,html$ **bar**.html [**R**] 


依赖 于 浏览 器 的 内 容 


3 BA: 
至 少 对 重要 的 顶级 页 面 ， 有 时 候 有 必要 提供 依赖 于 浏览 器 的 最 佳 的 内 容 ， 即 对 最 新 的 


Netscape 提 供 最 大 化 的 版 本 ， 对 Lynx 提 供 最 小 化 的 版 本 ， 而 对 其 他 的 浏览 器 则 提供 一 个 功能 
一 般 的 版 本 。 


方案 : 


对 此 ， 内 容 协 商 无 能 为 力 ， 因 为 浏览 器 不 提供 那 种 形式 的 类 型 ， 所 以 只 能 在 HTTP 头 "User- 

Agent" 上 想 办 法 。 以 下 规则 集 可 以 完成 这 个 操作 : 如 果 HTTP 头 "User-Agent" 以 "Mozilla/3" 开 
头 ， 则 页 面 foo.html 被 重 写 为 foo.Ns.html ， 而 后 重 写 操 作 终 止 ; 如 果 是 "Lynx" 或 者 版 本 号 
为 1 和 2 的 "Mozilla"， 则 重 写 为 foo.26.html ; 而 其 他 所 有 的 浏览 器 收 到 的 页 面 则 


是 foo.32.html 


RewriteCond 9?6((HTTP USER AGENT) ^**Mozilla/3**.* 


RewriteRule ^fooN.html$ foo.**NS**. html etie e] 
RewriteCond 9£((HTTP USER AGENT) ^**Lynx/**.,* [OR] 
RewriteCond %{HTTP_USER_AGENT} 4**Mozilla/[12]**.* 

RewriteRule ^fooN.html$ foo.**20**.html Peri e] 
RewriteRule ^fooN.html$ foo.**32**.html [ESSE] 


动态 镜像 
说 明 : 


假定 ， 需 要 在 我 们 的 名 称 空间 里 加 入 其 他 远程 主机 的 页 面 。 对 FTP 服 务 器 ， 可 以 用 mirror 程 
序 以 在 本 地 机 器 上 维持 一 个 对 远程 数据 的 最 新 的 拷贝 ; 对 web 服 务 器 ， 可 以 用 类 似 的 用 于 
HTTP 的 webcopy 程序 。 但 这 两 种 技术 都 有 一 个 主要 的 缺点 : 此 本 地 拷贝 必须 通过 这 个 程序 的 
执行 来 更 新 。 所 以 ， 比 较 好 的 方法 是 ， 不 采用 静态 镜像 ， 而 采用 动态 镜像 ， 即 在 有 数据 请 求 
时 自动 更 新 (远程 主机 上 更 新 的 数据 )。 


方案 : 


为 此 ， 使 用 代理 吞吐 (<dfn class="calibre27">Proxy Throughput</dfn>) 功 能 (flag [p] )， 以 映 
射 远程 页 面 甚至 整个 远程 网 络 区 域 到 我 们 的 名 称 空间 : 


RewriteEngine on 
RewriteBase /-quux/ 
RewriteRule ^**hotsheet/**(.*)$ **http://www.tstimpreso.com/hotsheet/**$1  [**P**] 


RewriteEngine on 
RewriteBase /-quux/ 
RewriteRule ^**usa-newsN.html**$ **http://www.quux-corp.com/news/index.html** [**P* 


al — um 


ED | 








B [8] 22 SBR 


说 明 : 


方案 : 


RewriteEngine on 
RewriteCond /mirror/of/remotesite/$1 
RewriteRule ^http://wwwN.remotesiteN.com/(.*)$ Jr aud nee es 


通过 Intranet 取 得 丢失 的 数据 

说 明 : 

这 是 一 种 在 受 防 火 墙 保 扩 的 (内 部 )Intranet( www2.quux-corp.dom ) 上 保存 和 维护 实际 数据 ， 而 虚 
拟 地 运行 企业 级 (外 部 )Internet web 服 务 器 ( www. quux-corp.dom ) 的 巧妙 的 方法 。 这 种 方法 是 外 
部 服务 器 在 空闲 时 间 从 内 部 服务 器 取得 被 请 求 的 数据 。 

方案 : 


首先 ， 必 须 确 保 防 火 墙 对 内 部 服务 器 的 保护 ， 并 只 人 允许 此 外 部 服务 器 取得 数据 。 对 包 过 滤 
(packet-filtering) 防 火 墙 ， 可 以 如 下 制定 防火 墙 规 则 : 


**ALLOW** Host www.quux-corp.dom Port &gt;1024 --&gt; Host www2.quux-corp.dom Port **80** 


**DENY** Host * Port * --&gt; Host www2.quux-corp.dom Port **80** 
b ERI 
按 你 的 实际 配置 ， 只 要 对 上 例 稍 作 调 整 即 可 。 接 着 ， 建 立 通过 代理 后 台 获 取 丢 失 数据 


的 mod rewrite 规则 : 


RewriteRule ^/-([^/]*)/?(.*) /home/$1/ .www/$2 
RewriteCond 9$((REQUEST FILENAME] poe e puso 
RewriteCond 94((REQUEST FILENAME) vote Ties fuite 


RewriteRule ^/home/([^/]*)/.www/?(.*) http://**www2**.quux-corp.dom/-$1/pub/$2 [**P**] 


负载 的 均衡 

说 明 : 

如 何 均衡 www.foo.com B A 载 到 www[0-5].foo.com (一 共 是 6 个 服务 器 )? 
方案 : 


这 个 问题 有 许多 可 能 的 解决 方案 ， 在 此 ， 我 们 讨论 通称 为 “基于 DNS” 的 方案 ， 和 特殊 的 使 
用 mod_rewrite 的 方案 : 


1. 


DNS 循环 (DNS Round-Robin) 


最 简单 的 方法 是 用 BINp 的 DNS 循环 特性 ， 只 要 按 惯 例 设置 www[0-9].foo.com 的 DNS 的 
A( 地 址 ) 记 录 ， 如 : 


www0 IN A ALA a ein al, 
www IN A AL 32. 
www2 IN A by eiae 
www3 IN A IRSA 
www4 IN A abor eia 
www5 IN A AL Aen) 
然后 ， 增 加 以 下 各 项 : 
Www IN CNAME wwwO .foo.com. 


IN CNAME www31.foo.com. 
IN CNAME www2.foo.com. 
IN CNAME www3.foo.com. 
IN CNAME www4.foo.com. 
IN CNAME www5.foo.com. 
IN CNAME www6.foo.com. 


注意 ， 上 述 看 起 来 似乎 是 错误 的 ， 但 事实 上 ， 它 的 确 是 erNp 中 的 一 个 预期 的 特性 ， 而 且 
也 可 以 这 样 用 。 无 论 如 何 ， 现 在 www.foo.com 已 经 被 解析 ， BIND 可 以 给 出 wwwO-www6 , 

有 虽然 每 次 在 次 序 上 会 有 轻微 的 置换 /循环 ， 客 户 端的 请 求 可 以 被 分 散 到 各 个 服务 器 。 但 这 
并 不 是 一 个 优秀 的 负载 均衡 方案 ， 因 为 DNS 解析 信息 可 以 被 网 络 中 其 他 名 称 服 务 器 缓 

冲 ， 而 一 旦 www.foo.com 被 解析 为 wwwN.foo.com ， 则 其 后 继 请 求 都 将 被 送 

ft www.foo.com 。 但 是 最 终结 果 是 正确 的 ， 因 为 请 求 的 总 量 的 确 被 分 散 到 各 个 服务 器 了 


. DNS 负载 均衡 


一 种 成 熟 的 基于 DNS 的 负载 均衡 方法 是 使 
Fihttp://www.stanford.edu/-schemers/docs/Ibnamed/Ibnamed.htmIÉ^ lbnamed 程序 ， 它 
是 一 个 Perl5 程 序 ， 带 有 若干 辅助 工具 ， 实 现 了 真正 的 基于 DNS 的 负载 均衡 。 


.代理 吞吐 循环 (Proxy Throughput Round-Robin) 


这 是 一 个 使 用 mod_rewrite 及 其 代理 吞吐 特性 的 方法 。 首 先 ， 在 DNS 记 录 中 


将 www0.foo.com 固定 为 www.foo.com ， 如 下 : 


WWW IN CNAME wwwO .foo.com. 


FOR, RF wwo0.foo.com 转换 为 一 个 专职 代理 服务 器 ， 即 由 这 个 机 器 把 所 有 到 来 的 URL 通 
过 内 部 代理 分 散 到 另外 5 个 服务 器 ( www1-www5 )。 为 此 ， 必 须 建立 一 个 规则 集 ， 对 所 有 
URL 调 用 一 个 负载 均衡 脚本 lb.pl o 


RewriteEngine on 
RewriteMap lb prg:/path/to/1lb.pl 
RewriteRule A/(.+)$ ${1b:$1} [P,L] 


以 下 是 lb.pl 


#!/path/to/perl 


HH 

## lb.pl -- load balancing script 

HH 

$| = 1; 

$name = "www"; # the hostname base 

$first = 1; # the first server (not © here, because 0 is myself) 
$last = # the last server in the round-robin 

$domain = "foo.dom"; # the domainname 

$cnt = 0; 


while (&lt;STDIN&gt;) { 
$cnt = (($cnt+1) % ($1ast*1-$first)); 
$server = sprintf("%s%d.%s", $name, $cnt+$first, $domain); 
print "http://$server/$_"; 

} 


#HEOFHH 


最 后 的 说 明 : 这 样 有 用 吗 ? www6 .foo.com 似乎 也 会 超载 呀 ? 答案 是 : 没 错 ， 它 的 确 会 超 
载 ， 但 是 它 超载 的 仅仅 是 简单 的 代理 吞吐 请 求 ! 所 有 诸如 SSI、CGI、ePerl 等 等 的 处 理 完 
全 是 由 其 他 机 器 完成 的 ， 这 个 才 是 要 点 。 | --- | --- | 


硬件 /TCP 循 环 


还 有 一 个 硬件 解决 方案 。Cisco 有 一 个 叫 LocalDirector 的 未 西 ， 实 现 了 TCP/IP 层 的 负载 均 
衡 ， 事 实 上 ， 它 是 一 个 位 于 网 站 集群 前 端的 电路 级 网 关 。 如 果 你 有 足够 资金 而 且 的 确 需 


高 性 能 的 解决 方案 ， 那 么 可 以 用 这 个 。 


反 向 代理 


说 明 : 

方案 : 
THE 
## apache-rproxy.conf -- Apache configuration for Reverse Proxy Usage 
THE 
# server type 
ServerType standalone 
Listen 8000 
MinSpareServers 16 
StartServers 16 
MaxSpareServers 16 


MaxClients 16 


MaxRequestsPerChild 100 


# server operation parameters 


KeepAlive on 
MaxKeepAliveRequests 100 
KeepAliveTimeout 15 
Timeout 400 
IdentityCheck off 
HostnameLookups off 


# paths to runtime files 


PidFile /path/to/apache-rproxy.pid 
LockFile /path/to/apache-rproxy.lock 
ErrorLog /path/to/apache-rproxy.elog 
CustomLog /path/to/apache-rproxy.dlog "%{%v/%T}t %h -&gt; %{SERVER}e URL: 
# unused paths 

ServerRoot /tmp 

DocumentRoot /tmp 

CacheRoot /tmp 

RewriteLog /dev/null 

TransferLog /dev/null 

TypesConfig /dev/null 

AccessConfig /dev/null 

ResourceConfig /dev/null 


4 speed up and secure processing 
&lt;Directory /&gt; 

Options -FollowSymLinks -SymLinksIfOwnerMatch 
AllowOverride None 


&lt;/Directory&gt; 
# the status page for monitoring the reverse proxy 


&lt;Location /apache-rproxy-status&gt; 
SetHandler server-status 


&lt;/Location&gt; 

# enable the URL rewriting engine 
RewriteEngine on 
RewriteLogLevel 0 


# define a rewriting map with value-lists where 
# mod rewrite randomly chooses a particular value 
RewriteMap server rnd:/path/to/apache-rproxy.conf-servers 


# make sure the status page is handled locally 

# and make sure no one uses our proxy except ourself 
RewriteRule ^/apache-rproxy-status.* - [L] 
RewriteRule ^(http|ftp)://.* - [F] 


# now choose the possible servers for particular URL types 
RewriteRule ^/(.*N.(cgi|shtml))$ to://${server:dynamic}/$1 [S=1] 
RewriteRule A/(.*)$ to://${server:static}/$1 


# and delegate the generated URL by passing it 
# through the proxy module 
RewriteRule ^to://([^/]*)/(.*) http://$1/$2 [E-SERVER: $1, P,L] 


# | and make really sure all other stuff is forbidden 
# when it should survive the above rules... 


RewriteRule me - [F] 
# enable the Proxy module without caching 
ProxyRequests on 

NoCache 0 


# setup URL reverse mapping for redirect reponses 


ProxyPassReverse / http://wwwi.foo.dom/ 

ProxyPassReverse /  http://www2.foo.dom/ 

ProxyPassReverse / http://www3.foo.dom/ 
/ 


ProxyPassReverse http: //www4.foo.dom/ 


%U " 


ProxyPassReverse / http://www5.foo.dom/ 
ProxyPassReverse / http://www6.foo.dom/ 


‘ — 0 OR 





THE 

## apache-rproxy.conf-servers -- Apache/mod rewrite selection table 
THE 

# list of backend servers which serve static 

# | pages (HTML files and Images, etc.) 

static www1. foo . dom | www2 . foo . dom | www3 . foo . dom | www4 . foo . dom 


# list of backend servers which serve dynamically 
# generated page (CGI programs or mod perl scripts) 
dynamic | www5.foo.dom|www6.foo.dom 


新 的 MIME 类 型 ， 新 的 服务 
说 明 : 


网 上 有 许多 很 巧妙 的 CGI 程 序 ， 但 是 用 法 隆 涩 ， 许 多 网 管 弃 之 不 用 。 即 使 是 Apache 的 MEME 

类 型 的 动作 处 理 器 ， 也 仅仅 在 CGI 程 序 不 需要 在 其 输入 中 包含 特殊 

URL( PATH INFO 和 quERv srRINGS ) 时 才 很 好 用 。 首 先 ， 配 置 一 种 新 的 后 级 为 ,scgi (安全 CG1) 
文件 类 型 ， 其 处 理 器 是 很 常见 的 cgiwrap 程序 。 问 题 是 : 如 果 使 用 同类 URL 规 划 ( 见 上 述 )， 而 
用 户 宿主 目录 中 的 一 个 文件 的 URL 是 /u/user/foo/bar.scgi ， 可 是 cgiwrap 要 求 的 URL 的 格 

式 是 /-user/foo/bar.scgi/ ， 以 下 规则 解决 了 这 个 问题 : 


RewriteRule ^/[uge]/**([^/]*)**/N.www/(.*)N.Scgi(.*) ... 
. /internal/cgi/user/cgiwrap/-**$1**/$2.scgi$3  [NS,**T-application/x-http-cgi**] 


另外 ， 假 设 需要 使 用 其 他 程序 : wwwlog (显示 access.log 中 的 一 个 URL 子 树 ) 和 wwwidx (对 一 
个 URL 子 树 运行 Glimpse)， 则 必须 对 这 些 程序 提供 URL 区 域 作 为 其 操作 对 象 。 上 比如 ， 
对 /u/user/foo/ 执行 swwidx 程序 的 超 链 是 这 样 的 : 


/internal/cgi/user/swwidx?i-/u/user/foo/ 
其 缺点 是 ， 必 须 同 时 硬 编码 超 链 中 的 区 域 和 CGI 的 路 径 ， 如 果 重 组 了 这 个 区 域 ， 就 需要 花费 大 
量 时 间 来 修改 各 个 超 链 。 
方案 : 


方案 是 用 一 个 特殊 的 新 的 URL 格 式 ， 自 动 拼装 CGI 参数 : 


RewriteRule ^/([uge])/([^/]*)(/?.*)/N* /internal/cgi/user/wwwidx?i-/$1/$2$3/ 
RewriteRule ^/([uge])/([^/]*)(/?.*):10g /internal/cgi/user/wwwlog?f-/$1/$2$3 


现在 ， 这 个 搜索 到 ;u/user/foo/ 的 超 链 简化 成 了 : 


HREF=" *" 


它 会 被 内 部 地 自动 转换 为 


/internal/cgi/user/wwwidx?i-/u/user/foo/ 
如 此 ， 可 以 为 使 用 " :1og "的 超 链 ， 拼 装 出 调用 CGI 程序 的 参数 。 


从 静态 到 动态 

说 明 : 

如 何 无 颖 转换 静态 页 面 foo.html 为 动态 的 foo.cgi ， 而 不 为 浏览 器 /用 户 所 察觉 。 
方案 : 


只 须 重 写 此 URL 为 CGl-script ， 以 强制 为 可 以 作为 CGl-script 运 行 的 正确 的 MIME 类 型 。 如 此 ， 
对 /~quux/foo.html 的 请 求 其 实 会 执行 /-quux/foo.cgi 。 
RewriteEngine on 


RewriteBase /-quux/ 
RewriteRule ^fooN.**html**$ foo.**cgi** [T=**application/x-httpd-cgi**] 


传输 过 程 中 的 内 容 协商 
说 明 : 


这 是 一 个 很 难 解 的 功能 : 动态 生成 的 静态 页 面 ， 即 它 应 该 作为 静态 页 面 发送 ( 从 文件 系统 中 读 
出 ， 然 后 直接 发 出 去 )， 但 是 如 果 它 丢失 了 ， 则 由 服务 器 动态 生成 。 这 样 ， 可 以 静态 地 提供 
CGI 生 成 的 页 面 ， 除 非 有 人 (或 者 是 一 个 cronjob) 删 除了 这 些 静 态 页 面 ， 而 且 其 内 容 可 以 得 到 更 
新 。 


方案 : 
以 下 规则 集 实 现 了 这 个 功能 : 


RewriteCond %{REQUEST_FILENAME} a ISIN 
RewriteRule ^page\.**html**$ page.**cgi** [T-application/x-httpd-cgi,L] 


304%, MOR page.htmi 不 存在 或 者 文件 大 小 为 null ， 则 对 page. html 的 请 求 会 导 

SX page.cgi 的 运行 。 其 中 奥妙 在 于 page.cgi 是 一 个 将 输出 写 入 page.html 的 (同时 也 写 

入 stoouT ) 的 常规 的 CGI 脚本 ， 执 行 完毕 ， 服 务 器 则 将 page.html 的 内 容 发 出 。 如 果 网 管 需 
强制 更 新 其 内 容 ， 只 须 删 除 page.html 即 可 (通常 由 一 个 cronjob 完 成 )。 


自动 更 新 的 文档 
说 明 : 


建立 一 个 复杂 的 页 面 ， 能 够 在 用 编辑 器 写 了 一 个 更 新 的 版 本 时 自动 在 浏览 器 上 得 到 刷新 ， 这 
不 是 很 好 吗 ? 这 可 能 吗 ? 


方案 : 


这 是 可 行 的 ! 这 需要 综合 利用 MIME 多 成 分 、web 服 务 器 的 NPH 和 mod_rewrite 的 URL 操 控 特 
性 。 首 先 ， 建 立 一 个 新 的 URL 特 性 : 对 在 文件 系统 中 更 新 时 需要 刷新 的 所 有 URL 加 


.E" :refresh "o 


RewriteRule ^(/[uge]/[^/]*/?.*):refresh /internal/cgi/apache/nph-refresh?f=$1 


然后 ， 修 改 URL 


/u/foo/bar/page.html:refresh 


以 内 部 地 操控 此 URL 


/internal/cgi/apache/nph-refresh?f-/u/foo/bar/page.html 


接着 就 是 NPH-CGI 脚 本 部 分 了 。 虽然 ， 人 们 常 说 "将 此 作为 一 个 练习 留 给 读者 "， 但 我 还 是 给 出 
答案 了 。 


#!/sw/bin/perl 

THE 

## nph-refresh -- NPH/CGI script for auto refreshing pages 

## Copyright (c) 1997 Ralf S. Engelschall, All Rights Reserved. 
THÉ 

$| = 1; 


# split the QUERY STRING variable 
@pairs = split(/&/, SENV{'QUERY_STRING'}); 
foreach $pair (@pairs) { 
($name, $value) = split(/=/, $pair); 
$name =~ tr/A-Z/a-z/; 
$name = 'QS ' . $name; 
$value =~ s/%([a-fA-FO-9][a-fA-FO-9])/pack("C", hex($1))/eg; 
eval "\$$name = \"$value\""; 


} 
$QS_s = 1 if ($QS_s eq ''); 
$QS_n = 3600 if ($QS_n eq ''); 


if ($085 f eq '') { 
print "HTTP/1.0 200 OK\n"; 
print "Content-type: text/html\n\n"; 
print "&lt;b&gt;ERROR&lt;/b&gt;: No file given\n"; 
exit(0); 


} 
if (! -f $0S f) { 
print "HTTP/1.0 200 OK\n"; 
print "Content-type: text/html\n\n"; 
print "&lt;b&gt;ERROR&lt;/b&gt;: File $QS f not found\n"; 
exit(0); 


sub print http headers multipart begin { 
print "HTTP/1.0 200 OK\n"; 
$bound = "ThisRandomString12345"; 
print "Content-type: multipart/x-mixed-replace; boundary=$bound\n"; 
&print_http_headers_multipart_next; 


sub print_http_headers_multipart_next { 
print "\n--$bound\n"; 


sub print http headers multipart end { 
print "\n--$bound--\n"; 


sub displayhtml { 
local($buffer) = Q ; 
$len = length($buffer); 
print "Content-type: text/html\n"; 
print "Content-length: $len\n\n"; 
print $buffer; 


sub readfile { 
local($file) = Q ; 
local(*FP, $size, $buffer, $bytes); 
($x, $x, $x, $x, $x, $x, $x, $size) = stat($file); 
$size = sprintf("%d", $size); 
open(FP, "&lt;$file"); 
$bytes = sysread(FP, $buffer, $size); 
close(FP); 
return $buffer; 


} 


$buffer = &readfile($QS_f); 
&print_http_headers_multipart_begin; 
&displayhtml($buffer); 


sub mystat { 
local($file) = $ [0]; 
local($time); 


($x, $x, $x, $x, $x, $x, $x, $x, $x, $mtime) = stat($file); 
return $mtime; 


} 


$mtimeL = &mystat($QS_f); 
$mtime = $mtime; 
for ($n = 0; $n &lt; $QS_n; $n++) { 
while (1) { 
$mtime = &mystat($QS_f); 
if ($mtime ne $mtimeL) { 
$mtimeL = $mtime; 
sleep(2); 
$buffer = &readfile($QS f); 
&print_http_headers_multipart_next; 
&displayhtml($buffer); 
sleep(5); 
$mtimeL = &mystat($QS_f); 
last; 


T O 
} 
&print_http_headers_multipart_end; 
exit(0); 


#HEOFHH 


大 型 虚拟 主机 
说 明 : 


Apache 的 «virtualHost» 功能 很 强 ， 在 有 几 十 个 虚拟 主机 的 情况 下 运行 得 很 好 ， 但 是 如 果 你 
是 ISP， 需 要 提供 几 百 个 虚拟 主机 ， 那 么 这 就 不 是 一 个 最 佳 的 选择 了 。 


方案 : 


为 此 ， 需 要 用 <dfn class="calibre27"> 代 理 吞 吐 (Proxy Throughput)</dfn> 功 能 (flag [P] ) 映 射 
远程 页 面 甚 至 整个 远程 网 络 区 域 到 自己 的 名 称 空间 : 


THE 

## vhost.map 

## 

www.vhosti.dom:80 /path/to/docroot/vhost1 
www.vhost2.dom:80  /path/to/docroot/vhost2 


www.vhostN.dom:80  /path/to/docroot/vhostN 


THE 
## httpd.conf 
THE 


ü use the canonical hostname on redirects, etc. 
UseCanonicalName on 


# add the virtual host in front of the CLF-format 
CustomLog  /path/to/access log "%{VHOST}e %h %1 96u %t \"%r\" 96&gt;s 96b" 


# enable the rewriting engine in the main server 
RewriteEngine on 


# define two maps: one for fixing the URL and one which defines 
# the available virtual hosts with their corresponding 

# DocumentRoot. 

RewriteMap lowercase int: tolower 

RewriteMap vhost txt:/path/to/vhost.map 


# Now do the actual virtual host mapping 
# via a huge and complicated single rule: 
# 


4  1\. make sure we don't map for common locations 
RewriteCond %{REQUEST_URL} !4/commonur11/.* 
RewriteCond %{REQUEST_URL} !4/commonur12/.* 


RewriteCond %{REQUEST_URL} !4/commonur1N/. * 


# 

# 2\. make sure we have a Host header, because 
# currently our approach only supports 

# virtual hosting through this header 
RewriteCond %{HTTP_HOST}  !^$ 

# 


# 3\. lowercase the hostname 
RewriteCond ${lowercase:%{HTTP_HOST}|NONE} A(.+)$ 


# 

4  A\. lookup this hostname in vhost.map and 

# remember it only when it is a path 

# (and not "NONE" from above) 

RewriteCond ${vhost:%1} A(/.*)$ 

# 

#  5\. finally we can map the URL to its docroot location 
# and remember the virtual host for logging puposes 


RewriteRule ^/(.*)$ %1/$1 [E=VHOST:${lowercase:%{HTTP_HOST}}] 


对 访问 的 限制 
阻止 Robots 


说 明 : 


如 何 阻 止 一 个 完全 匿名 的 robot 取 得 特定 网 络 区 域 的 页 面 ? 一 个 /robots.txt 文件 可 以 包含 若 
干 "robot 排 除 协 议 " 的 行 ， 但 不 足以 阻止 此 类 robot。 


方案 : 


可 以 用 一 个 规则 集 以 拒绝 对 网 络 区 域 /-quux/foo/arc/ (对 一 个 很 深 的 目录 区 域 进行 列表 可 能 
会 使 服务 器 产生 很 大 的 负载 ) 的 访问 。 还 必须 确保 仅 阻止 特定 的 robot， 就 是 说 ， 仅 仅 阻止 robot 
访问 主机 是 不 够 的 ， 这 样 会 同时 也 阻止 了 用 户 访问 该 主机 。 为 此 ， 就 需要 对 HTTP 头 的 User- 
Agent 信 息 作 匹配 。 


RewriteCond %{HTTP_USER_AGENT } ^**NameOfBadRobot**.* 
RewriteCond %{REMOTE_ADDR} A**123\.45\.67\.[8-9]**$ 
RewriteRule 4**/~quux/foo/arc/**.+ - EARS] 


RAF A BRAY Fr 

说 明 : 

假设 ， http://www.quux-corp.de/~quux/ 有 一 些 内 嵌 图 片 的 页 面 ， 这 些 图 片 很 好 ， 所 以 就 有 人 
用 超 链 连 到 他 们 自己 的 页 面 中 了 。 由 于 这 样 徒然 增加 了 我 们 的 服务 器 的 流量 ， 因 此 ， 我 们 不 

愿意 这 种 事情 发 生 。 

方案 : 

虽然 ， 我 们 不 能 100% 地 保护 这 些 图 片 不 被 写 信 别人 的 页 面 ， 但 至 少 可 以 对 发 出 HTTP Referer 
头 的 浏览 器 加 以 限制 。 


RewriteCond %{HTTP_REFERER} **!^$** 
RewriteCond %{HTTP_REFERER} !^http://www.quux-corp.de/-quux/.*$ [NC] 


RewriteRule **.*\.gif$** - [F] 
RewriteCond %{HTTP_REFERER} I^$ 

RewriteCond %{HTTP_REFERER} !.*/foo-with-gifN.html$ 

RewriteRule **Ainlined-in-foo\.gif$** 5 [F] 


对 主机 的 拒绝 
说 明 : 
如 何 拒绝 一 批 外 部 列表 中 的 主机 对 我 们 服务 器 的 使 用 ? 


方案 : 


RewriteEngine on 

RewriteMap hosts-deny txt:/path/to/hosts.deny 

RewriteCond ${hosts-deny:%{REMOTE_HOST}|NOT-FOUND} !=NOT-FOUND [OR] 
RewriteCond ${hosts-deny:%{REMOTE_ADDR}|NOT-FOUND} !=NOT-FOUND 
RewriteRule ^/.* - [F] 


对 代理 的 拒绝 


3 BA: 
如 何 拒绝 某 个 主机 或 者 来 自 特定 主机 的 用 户 使 用 Apache 代 理 ? 
方案 : 


首先 ， 要 确保 Apache web 服 务 器 在 编译 时 配置 文件 中 mod_rewrite 在 mod proxy 的 下 面 ! 使 
它 在 mod proxy 之 前 被 调用 。 然 后 ， 如 下 拒绝 某 个 主机 .. 


RewriteCond %{REMOTE_HOST} **Abadhost\.mydomain\ .com$** 
RewriteRule !^http://[^/.]N.mydomain.com.* - [F] 


.如 下 拒绝 user@host-dependent: 


RewriteCond %{REMOTE_IDENT}@%{REMOTE_HOST} **Abadguy@badhost\.mydomain\ .com$** 
RewriteRule !^http://[^/.]N.mydomain.com.* - [F] 


特殊 的 认证 
说 明 : 


有 时 候 ， 会 需要 一 种 非常 特殊 的 认证 ， 即 对 一 组 明确 指定 的 用 户 ， 人 允许 其 访问 ， 而 没有 (在 使 
用 mod_authz_host 的 基本 认证 方法 时 可 能 会 出 现 的 ) 任 何 提示 。 


方案 : 


可 是 使 用 一 个 重 写 条 件 列表 来 排除 所 有 的 朋友 : 


RewriteCond %{REMOTE_IDENT}@%{REMOTE_HOST} **!^friendiQgclienti.quux-corpN.com$** 
RewriteCond %{REMOTE_IDENT}@%{REMOTE_HOST} **!Afriend2**@client2.quux-corp\.com$ 
RewriteCond %{REMOTE_IDENT}@%{REMOTE_HOST} **!Afriend3**@client3.quux-corp\.com$ 
RewriteRule ^/-quux/only-for-friends/ - [F] 


基于 提交 者 (Referer) 的 反射 器 

说 明 : 

如 何 配置 一 个 基于 HTTP 头 "Referer" 的 反射 器 以 反射 到 任意 数量 的 提交 页 面 ? 
方案 : 


使 用 这 个 很 巧妙 的 规则 集 .… 


RewriteMap deflector txt:/path/to/deflector.map 
RewriteCond %{HTTP_REFERER} !="" 

RewriteCond ${deflector:%{HTTP_REFERER}} ^-$ 
RewriteRule ^.* %{HTTP_REFERER} [R,L] 
RewriteCond %{HTTP_REFERER} !="" 


RewriteCond ${deflector:%{HTTP_REFERER}|NOT-FOUND} !=NOT -FOUND 
RewriteRule ^.* ${deflector:%{HTTP_REFERER}} [R,L] 


. 并 结合 对 应 的 重 写 映射 地 图 : 


SH 

## deflector.map 

THÉ 

http://www.badguys.com/bad/index.html = 


http://www. badguys.com/bad/index2.html - 
http://www. badguys.com/bad/index3.html http://somewhere.com/ 


它 可 以 自动 将 请 求 (在 映射 地 图 中 指定 了 " - " 值 的 时 候 ) 反 射 回 其 提交 页 面 ， 或 者 (在 映射 地 图 
中 URL 有 第 二 个 参数 时 ) 反 射 到 一 个 特定 的 URL。 


其 他 
外 部 重 写 引 擎 


说 明 : 
一 个 常见 的 问题 是 如 何 解决 似乎 无 法 用 mod rewrite 解决 的 FOO/BAR/QUUX/ 之 类 的 问题 ? 
方案 : 


可 以 使 用 一 个 与 RewriteMap 功能 相同 的 外 部 RewriteMap 程序 ， 一 且 它 在 Apache 和 启动 时 被 执 
行 ， 则 从 sTpIN 接收 被 请 求 的 URL ， 并 将 义理 过 (通常 是 重 写 过 的 ) 的 URL( 以 相同 顺序 ) 
在 stpout 输出 。 

RewriteEngine on 


RewriteMap quux-map **org:**/path/to/map.quux.pl 
RewriteRule ^/-quux/(.*)$ /~quux/**${quux-map:$1}** 


#!/path/to/perl 


# disable buffered I/O which would lead 
# to deadloops for the Apache server 
$| = 1; 


# read URLS one per line from stdin and 
# generate substitution URL on stdout 
while (&lt;&gt;) { 

s|4foo/|bar/|; 

print $_; 


这 是 一 个 作 演 示 的 例子 ， 只 是 把 所 有 的 URL /-quux/foo/... 重 写 为 /-quux/bar/... , 而 事 
实 上 ， 可 以 把 它 修改 以 获得 任何 你 需要 的 功能 。 但 是 要 注意 ， 虽 然 一 般 用 户 都 可 以 使 用 ， 可 
是 只 有 系统 管理 员 才 可 以 定义 这 样 的 地 图 。 


Apache 虚 拟 主 机 文档 


术语 "<cite class="calibre27"> 虚 拟 主 机 </cite>" 是 指 在 一 个 机 器 上 运行 多 个 网 站 ( 比 

如 : www.companyi.com 和 www.company2.com )。 如 果 每 个 网 站 拥有 不 同 的 IP 地 址 ， 则 虚拟 主机 
可 以 是 "基于 IP" 的 ; 如 果 只 有 一 个 IP 地 址 ， 也 可 以 是 "基于 主机 名 "的 ， 其 实现 对 最 终 用 户 是 透 
明 的 。 


Apache 是 率先 支持 基于 IP 的 虚拟 主机 的 服务 器 之 一 。1.1 及 其 更 新 版 本 同时 支持 基于 IP 和 基于 
主机 名 的 虚拟 主机 ， 今 后 ， 不 同 的 虚拟 主机 有 时 会 被 称 为 "基于 主机 "或 " 非 /P 虚 拟 主 机 "。 


下 列 文 档 会 前 述 Apache1.3 及 其 更 新 版 本 所 支持 的 虚拟 主机 的 所 有 细节 。 


虚拟 主机 支持 


。 基于 主机 名 的 虚拟 主机 (一 个 IP 地 址 ， 多 个 网 站 ) 

e 其 于 IP 地 址 的 虚拟 主机 (每 个 站 点 拥有 一 个 的 独立 IP 地 址 ) 
。 虚拟 主机 的 普通 配置 示例 

e 文件 描述 符 限制 (在 日 志文 件 过 多 的 情况 下 会 产生 的 限制 ) 
e 动态 配置 大 量 虚拟 主机 

e 深入 讨论 虚拟 主机 的 匹配 


IE TE 


@ <VirtualHost> 

* NameVirtualHost 
@ ServerName 

*  ServerAlias 


*  ServerPath 
如 果 要 调试 你 的 虚拟 主机 配置 ， 你 会 发 现 Apache 的 -s 命令 行 开 关 很 有 用 。 比 如 : 


/usr/local/apache2/bin/httpd -S 


此 命令 会 输出 Apache 解 析 配 置 文件 的 详细 描述 ， 仔 细 检 查 IP 地 址 和 主机 名 会 有 助 于 纠正 配置 
错误 。( 其 他 命令 行 参数 详 见 : httpd 文档 ) 


基于 主机 名 的 虚拟 主机 


本 文档 说 明了 如 何 使 用 基于 域名 的 虚拟 主机 。 


基于 域名 的 虚拟 主机 和 基于 IP 的 虚拟 主机 比较 


基于 IP 的 虚拟 主机 使 用 连接 的 IP 地 址 来 决定 相应 的 虚拟 主机 。 这 样 ， 你 就 需要 为 每 个 虚拟 主机 
分 配 一 个 独立 的 IP 地 址 。 而 基于 域名 的 虚拟 主机 是 根据 客户 端 提交 的 HTTP 头 中 标识 主机 名 的 
部 分 决定 的 。 使 用 这 种 技术 ， 很 多 虚拟 主机 可 以 共享 同一 个 IP 地 址 。 


基于 域名 的 虚拟 主机 相对 比较 简单 ， 因 为 你 只 需要 配置 你 的 DNS 服 务 器 将 每 个 主机 名 映射 到 
正确 的 IP 地 址 ， 然 后 配置 Apache HTTP 服 务 器 ， 兮 其 辨识 不 同 的 主机 名 就 可 以 了 。 基 于 域名 
的 服务 器 也 可 以 缓解 IP 地 址 不 足 的 问题 。 所 以 ， 如 果 没 有 特殊 原因 使 你 必须 使 用 基于 IP 的 虚拟 
主机 ， 您 最 好 还 是 使 用 基于 域名 的 虚拟 主机 。 下 列 情况 下 ， 你 可 能 会 想 要 使 用 基于 IP 的 虚拟 
主机 : 


。 一 些 古董 级 的 客户 端 与 基于 域名 的 虚拟 主机 不 兼容 。 为 了 与 基于 域名 的 虚拟 主机 兼容 ， 
客户 端 必须 发 送 "Host" 头 。HTTP/1.1 规 范 中 对 此 做 了 要 求 。 而 所 有 现在 常见 的 仅 支 持 
HTTP/1.0 的 旧版 本 浏览 器 都 以 附加 的 方式 实现 了 这 个 要 求 。 如 果 你 又 想 支 持 这些 老 浏览 
器 ， 又 想 使 用 基于 域名 的 虚拟 主机 。 我 们 提供 了 一 个 技术 方案 ， 你 可 以 在 本 文 末尾 看 到 
它 。 

e SSL 协 议 先 天 特性 决定 了 基于 域名 的 虚拟 主机 无 法 成 为 SSL 安 全 服务 器 。 

。 一 些 操作 系统 和 网 络 设备 实现 的 带宽 管理 技术 无 法 在 多 个 主机 共享 一 个 IP 的 情况 下 区 别 


它们 。 
使 用 基于 域名 的 虚拟 主机 
相关 模块 
相关 指令 


*  DocumentRoot 

*  NameVirtualHost 
*  ServerAlias 

@ ServerName 

©  ServerPath 


© <VirtualHost> 


为 了 使 用 基于 域名 的 虚拟 主机 ， 你 必须 指定 服务 器 IP 地 址 (和 可 能 的 端口 ) 来 使 主机 接受 请 求 ， 
这 个 可 以 用 NameVirtualHost 指令 来 进行 配置 。 如 果 服 务 器 上 所 有 的 IP 地 址 都 会 用 到 |， 你 可 以 

"E "作为 NameVirtualHost 的 参数 。 如 果 你 打算 使 用 多 端口 (如 运行 SSL) 你 必须 在 参数 中 指 
定 一 个 端口 号 ， 比 如 " *:80 "。 请 注意 ， 在 NamevirtualHost 指令 中 指定 IP 地 址 并 不 会 使 服务 
器 自动 侦 听 那个 IP 地 址 。 请 参阅 设置 Apache 使 用 的 地 址 和 端口 一 章 获取 更 多 详情 。 另 外 ， 这 
里 设 定 的 IP 地 址 必须 对 应 服务 器 上 的 一 个 网 络 接口 。 


下 一 步 就 是 为 每 个 虚拟 主机 建立 «VirtualHost» ER, <VirtualHost> 的 参数 

5 NamevirtualHost 的 参数 必须 是 一 样 的 (比如 说 ， 一 个 IP 地 址 或 " * "代表 的 所 有 地 址 )。 在 每 
个 <VirtualHost> 段 中 ， 至 少 要 有 一 个 serverName 指令 来 指定 伺服 哪个 主机 和 一 

个 DocumentRoot 指 合 来 说 明 这 个 主机 的 内 容 位 于 文件 系统 的 什么 地 方 。 


取消 中 心 主 机 (Mainhost) 


如 果 你 想 在 现 有 的 web 服 务 器 上 增加 虚拟 主机 ， 你 必须 也 为 现存 的 主机 建造 一 

个 <virtualHost> 定义 块 。 这 个 虚拟 主机 中 serverName 和 DocumentRoot 所 包含 的 内 容 应 该 与 
全 局 的 serverName 和 DocumentRoot 保持 一 致 。 还 要 把 这 个 虚拟 主机 放 在 配置 文件 的 最 前 面 ， 
来 让 它 扮演 默认 主机 的 角色 。 

比如 说 ， 假 设 你 正在 为 域名 wmw.domain.tld 提供 服务 ， 而 你 又 想 在 同一 个 IP 地 址 上 增加 一 个 
名 叫 www.otherdomain. tld 的 虚拟 主机 ， 你 只 需 在 httpd.conf 中 加 入 以 下 内 容 : 


NameVirtualHost *:80 
<VirtualHost *:80> 
ServerName www.domain.tld 
ServerAlias domain.tld *.domain.tld 


DocumentRoot /www/domain 
</VirtualHost> 


<VirtualHost *:80> 
ServerName www.otherdomain.tld 


DocumentRoot /www/otherdomain 
</VirtualHost> 


当然 ， 你 可 以 用 一 个 固定 的 IP 地 址 来 代替 NamevirtualHost 和 <virtualHost> 指令 中 
By" * "号 ， 以 达到 一 些 特定 的 目的 。 上 比如 说 ， 你 可 能 会 希望 在 一 个 IP 地 址 上 运行 一 个 基于 域 
名 的 虚拟 主机 ， 而 在 另外 一 个 IP 地 址 上 运行 一 个 基于 IP 的 或 是 另外 一 套 基于 域名 的 虚拟 主机 。 


很 多 服务 器 希望 自己 能 通过 不 只 一 个 域名 被 访问 。 我 们 可 以 把 serverAlias 指使 放 
入 <VirtualHost> 小 节 中 来 解决 这 个 问 题 。 比如 说 在 上 面 的 第 一 个 <VirtualHost> 配置 段 
中 ServerAlias 指令 中 列 出 的 名 字 就 是 用 户 可 以 用 来 访 问 同一 个 web 站 点 的 其 它 名 字 : 


ServerAlias domain.tld *.domain.tld 


这 样 ， 所 有 对 域 domain.tid 的 访问 请 求 都 将 由 虚拟 主机 www. domain.tld 义理 。 通 配 符 标 
ip" * "和 " ?" 可 以 用 于 域名 的 匹配 。 当 然 你 不 能 仅仅 搞 个 名 字 然 后 把 它 放 

到 serverName 或 serverAlias 里 就 算 完 了 。 你 必须 先 在 你 的 DNS 服务 器 上 进行 配置 ， 将 这 些 
名 字 和 您 服务 器 上 的 一 个 IP 地 址 建立 映射 关系 。 


最 后 ， 你 可 以 把 其 他 一 些 指使 放 入 <virtualHost> Em, 以 更 好 的 配置 一 个 虚拟 主机 。 大 部 分 
虽 倒 都 可 以 放 人 这些 <virtualHost> 段 中 以 改 变相 应 虚拟 主机 配置 。 如 果 您 想 了 解 一 个 特定 的 
指 倒是 否 可 以 这 样 运用 ， 请 人 参见 指 合 的 作用 域 。 主 服务 器 (main server) 范 围 内 的 配置 指 倒 ( 在 
所 有 <virtualHost> 配置 段 之 外 的 指 邻 ) 包 在 它们 没有 被 虚拟 主机 的 配置 覆盖 时 才 起 作用 。 


这 样 ， 当 一 个 请 求 到 达 的 时 候 ， 服务 器 会 首先 检查 它 是 否 使 用 了 一 个 能 和 NameVirtualHost TH 
匹配 的 IP 地 址 。 如 果 能 够 匹配 ， 它 就 会 查找 每 个 与 这 个 IP 地 址 相对 应 的 <VirtualHost> 段 ， 并 
尝试 找 出 一 个 与 请 求 的 主机 名 相同 的 serverName 或 ServerAlias 配置 项 。 如 果 找 到 了 ， 它 就 
会 使 用 这 个 服务 器 。 否 则 ， 将 使 用 符合 这 个 IP 地 址 的 第 一 个 列 出 的 虚拟 主机 。 

综 上 所 述 ， 第 一 个 列 出 的 虚拟 主机 充当 了 默认 虚拟 主机 的 角色 。 当 一 个 IP 地 址 

与 Namevirtualhost 指令 中 的 配置 相符 的 时 候 ， 主 服务 器 中 的 pocumentRoot 将 永远 不 会 被 用 

到 。 所 以 ， 如 果 你 想 创 建 一 段 特殊 的 配置 用 于 义理 不 对 应 任何 一 个 虚拟 主机 的 请 求 的 话 ， 你 
只 要 简单 的 把 这 段 配 置 放 到 -virtualHost» 段 中 ， 并 把 它 放 到 配置 文件 的 最 前 面 就 可 以 了 。 


与 旧版 浏览 器 的 兼容 性 


前 面 提 过 ， 有 些 浏 览 器 无 法 对 基于 域名 的 虚拟 主机 发 送 必要 的 数据 ， 从 而 使 其 无 法 正常 工 
作 。 这 些 浏览 器 将 会 收 到 由 配置 中 符合 那个 IP 地 址 的 第 一 个 列 出 的 虚拟 主机 发 出 的 页 面 (基于 
域名 的 <cite class="calibre27"> 主 虚拟 主机 </cite>)。 


究竟 什么 算 旧 ? 


请 注意 ， 当 我 们 说 到 旧 的 时 候 ， 我 们 并 不 是 真 的 说 它们 很 古老 。 其 实现 实 中 您 未 必 就 能 用 上 
这 些 浏览 器 。 现 在 几乎 所 有 的 浏览 器 都 会 发 送 基于 域名 的 虚拟 主机 所 必须 的 Host KT. 


虽然 有 点 麻烦 。 但 您 还 是 有 可 能 会 用 到 serverpath 指令 ， 以 下 是 一 个 配置 实例 : 


NameVirtualHost 111.22.33.44 
<VirtualHost 111.22.33.44> 
ServerName www.domain.tld 
ServerPath /domain 


DocumentRoot /web/domain 
</VirtualHost> 


以 上 这 些 说 明了 什么 呢 ? 它 说 明 一 个 具有" /domain "开头 的 任何 URI 都 会 为 www.domain.tld 这 
个 虚拟 主机 所 伺服 。 这 意味 着 这 个 页 面 可 以 由 http: //www.domain.tld/domain/ 的 形式 为 所 有 的 
浏览 器 所 访问 。 能 够 发 送 " Host: " 头 的 浏览 器 也 能 使 用 http://www.domain.tld/ 这 种 形式 来 访 
问 它 。 

为 了 达到 这 样 的 目的 。 您 先 要 在 您 的 主 虚拟 主机 的 页 面 上 放 一 个 

到 nttp://www.domain.tld/domain/ 的 链接 。 然 后 ， 确 保 在 虚拟 主机 的 页 面 中 使 用 的 全 是 相对 链 
接 ( 诸 如 : " file.html "SX" ../icons/image.gif ") 或 者 是 包含 /domain/ 这 个 前 级 ( 比 


如 : " http://www.domain.tld/domain/misc/file.html "SX" /domain/misc/file.html "), 


完成 这 些 可 能 需要 一 些 党 试 ， 但 遵照 上 述 指导 将 会 确保 你 的 页 面 能 够 为 所 有 的 浏览 器 所 正确 
显示 ， 不 论 新 旧 。 


基于 IP 地 址 的 虚拟 主机 


系统 需求 


就 像 它 的 名 字 "<cite class="calibre27"> 基 于 IP</cite>" 所 暗示 的 那样 ， 这 样 的 服务 器 中 每 个 基 
于 IP 的 虚拟 主机 必须 拥有 不 同 的 IP 地 址 。 可 以 通过 配 各 多 个 真实 的 物理 网 络 接口 来 达到 这 一 要 
求 ， 也 可 以 使 用 几乎 所 有 流行 的 操作 系统 都 支持 的 虚拟 界面 来 达到 这 一 要 求 (详情 请 参见 您 的 
系统 文档 ， 这 种 功能 一 般 被 称 作 "IP 别 名 "， 一 般 用 "ifconfig" 命 令 来 进行 设置 )。 


如 何 配置 Apache 

有 两 种 配置 方法 来 使 apache 支 持 多 主机 : 为 每 个 虚拟 主机 运行 不 同 的 httpd 守护 进程 ; 或 者 
用 同一 个 守护 进程 来 支持 所 有 虚拟 主机 。 

以 下 情况 使 用 多 个 守护 进程 : 

e 出 于 安全 的 考虑 ， 比 如 说 公司 甲 不 希望 公司 乙 的 任何 人 能 用 除 web 以 外 的 方式 访问 到 他 们 
的 数据 。 在 这 种 情况 下 ， 您 需要 启动 两 个 守护 进程 。 每 个 进程 都 使 用 不 同 的 user , 
Group , Listen , ServerRoot 设置 。 

e 您 能 够 为 机 器 上 的 每 个 IP 地 址 提供 内 存 和 文件 描述 符 需 求 。 您 只 能 Listen 一 个 "通配符 
型 "地 址 或 一 个 特定 的 地 址 。 所 以 不 管 出 于 什么 原因 ， 如 果 您 需要 侦 听 一 个 特定 的 地 址 ， 
您 就 必须 同时 侦 听 所 有 特定 的 地 址 。( 尽 管 可 以 让 一 个 httpd 侦 听 N-1 个 地 址 ， 而 让 另 一 
个 侦 听 剩 下 的 地 址 ) 

以 下 情况 使 用 单一 守护 进程 : 
。 httpd 的 配置 可 以 为 多 个 虚拟 主机 共享 而 不 引起 麻烦 。 
。 机 器 要 接受 大 量 的 访问 请 求 ， 从 而 多 和 启动 一 个 守护 进程 会 导致 性 能 大 幅度 降低 。 


设置 多 个 守护 进程 


为 每 个 虚拟 主机 创建 一 个 不 同 的 httpd 安装 。 每 次 安装 都 在 配置 文件 中 使 用 Listen 指令 指定 
守护 进程 伺服 的 IP 地 址 (或 虚拟 主机 )。 比 如 : 


Listen www.smallco.com:80 


建议 您 使 用 IP 地 址 来 取代 域名 (理由 请 参见 关于 DNS 和 Apache)。 


配置 拥有 多 个 虚拟 主机 的 单一 村 折 进 程 


在 这 种 情况 下 ， 单 一 的 httpd 将 伺服 所 有 对 主 服务 器 和 虚拟 主机 的 请 求 。 而 配置 文件 中 
的 VirtualHost 指令 将 为 每 个 虚拟 主机 配置 不 同 的 ServerAdmin , ServerName , DocumentRoot , 


ErrorLog , TransferLog , CustomLog o 例如 : 


<VirtualHost www.smallco.com> 

ServerAdmin webmaster@mail.smallco.com 
DocumentRoot /groups/smallco/www 

ServerName www.smallco.com 

ErrorLog /groups/smallco/logs/error_log 
TransferLog /groups/smallco/logs/access_log 
</VirtualHost> 

<VirtualHost www.baygroup.org> 

ServerAdmin webmaster@mail.baygroup.org 
DocumentRoot /groups/baygroup/www 
ServerName www.baygroup.org 

ErrorLog /groups/baygroup/logs/error_log 
TransferLog /groups/baygroup/logs/access_log 


</VirtualHost> 


建议 您 使 用 IP 地 址 来 取代 域名 (理由 请 参见 关于 DNS 和 Apache)。 


除了 创建 进程 的 指令 和 其 他 一 些 指 令 外 ， 几 乎 所 有 的 配置 指令 都 能 用 于 <virtualhost> 指令 
中 。 您 可 以 使 用 指 今 素 引 在 作用 域 中 查询 一 个 指令 是 否 可 以 用 于 <virtualhost> 指 今 。 


如 果 使 用 了 suEXEC 和 包装， 那么 suexecuserGroup 指令 也 可 以 在 <virtualHost> 段 中 使 用 。 


安全 和 警示 : 当 指 定 日 志文 件 时 ， 请 记 住 有 安全 风险 。 一 些 别有用心 的 人 会 在 那个 目录 拥有 写 
权限 。 请 参见 安全 方面 的 提示 获取 详情 。 


大 批量 虚拟 主机 的 动态 配置 


本 文档 描述 如 何 使 用 Apache 有 效 的 架设 大 批量 虚拟 主机 。 


动机 


如 果 你 的 配置 文件 httpd.conf 中 包含 类 似 下 面 的 许多 <VirtualHost> E, 并 且 其 中 的 内 容 都 
大 致 相 同 的话 ， 你 应 该 会 对 这 里 所 讲 的 技术 感 兴趣 。 比 如 : 


NameVirtualHost 111.22.33.44 

<VirtualHost 111.22.33.44> 

ServerName www.customer-1.com 
DocumentRoot /www/hosts/www.customer-1.com/docs 


ScriptAlias /cgi-bin/  /www/hosts/www.customer-1.com/cgi-bin 
«/NirtualHost» 


<VirtualHost 111.22.33.44> 
ServerName Www.customer-2.com 
DocumentRoot /www/hosts/www.customer-2.com/docs 


ScriptAlias /cgi-bin/  /www/hosts/www.customer-2.com/cgi-bin 
«/NirtualHost» 


# 等 等 等 。。。 

<VirtualHost 111.22.33.44> 

ServerName www.customer-N.com 
DocumentRoot /www/hosts/www.customer-N.com/docs 


ScriptAlias /cgi-bin/  /www/hosts/www.customer-N.com/cgi-bin 
«/NirtualHost» 


最 基本 的 思想 是 用 动态 的 机 制 来 实现 所 有 这 些 静 态 的 <virtualHost> 配置 这 样 做 有 许多 优 
B. 


AM oC 


置 文件 变 小 ， 使 得 Apache 可 以 更 快 的 启动 ， 同时 消耗 更 少 的 内 存 。 
eed 个 虚拟 主机 ， 应 该 只 是 简单 的 在 文件 系统 中 创建 合适 的 目录 ， 以 及 配置 相关 的 
DNS 信息 ， 且 无 需 重新 启动 Apache 。 


主要 的 缺点 是 你 无 法 针对 每 个 虚拟 主机 使 用 不 同 的 日 志文 件 。 然 而 ， 如 果真 的 在 配置 有 大 量 
虚拟 主机 的 服务 器 上 记录 不 同 的 日 志文 件 的 话 ， 很 有 可 能 会 达到 操作 系统 所 允许 的 最 大 文件 
描述 符 的 数量 。 更 好 的 办 法 是 把 日 志 写 到 管道 或 者 先入 先 出 的 栈 ， 并 启用 其 他 的 进程 来 分 拒 
所 得 到 的 日 志 信 息 (同时 也 可 以 做 一 些 历史 纪录 的 统计 等 等 )。 


概述 


一 个 虚拟 主机 由 两 部 分 来 定义 : 一 个 是 它 的 IP 地 址 ， 还 有 一 个 是 HTTP 的 " Host: "请 求 头 。 动 
态 大 量 虚 拟 主 机 的 技术 ， 是 基于 自动 在 所 要 返回 的 文件 路 径 中 插入 相关 信息 的 想法 实现 的 。 
使 用 mod vhost alias 可 以 很 容易 的 实现 ， 但 如 果 你 的 Apache 版 本 低 于 1.3.6 ， 则 你 必须 使 
FA mod rewrite 。 两 者 在 默认 情况 下 都 不 启用 ; 要 使 用 他 们 ， 必 须 在 配置 和 编译 Apache 的 阶 
fs g Ho 


我 们 需要 做 很 多 "伪装 "， 才 能 使 动态 虚拟 主机 看 起 来 像 普通 主机 。 最 重要 的 一 点 是 Apache 使 
用 虚拟 主机 名 (ServerName) 来 生成 自 引用 (self-referential)URL 等 信息 。 这 是 用 serverName 指 
兮 来 配置 的 ， 并 且 可 以 通过 环境 变量 SERVER_NAME 传递 给 CGI 脚本 。 运 行 时 实际 使 用 的 值 是 
由 UseCanonicalName 指令 的 设置 来 控制 的 。 当 UseCanonicalName Off Hj, 虚拟 主机 名 
(ServerName) 取 自 请 求 中 的 " Host: " 头 。 当 UseCanonicalName DNS 时 ， 则 通过 DNS 反 解 析 虚 
拟 主机 的 IP 地 址 得 到 主机 名 。 以 前 的 做 法 是 基于 名 称 的 动态 虚拟 主机 ， 现 在 常用 基于 IP 地 址 的 
虚拟 主机 。 如 果 Apache 无 法 判断 虚拟 主机 名 ， 则 可 能 是 没有 " host:“" 头 或 是 DNS 解析 失败 ， 
这 样 种 情况 下 ，Apache 将 使 用 配置 serverName 时 所 填写 的 主机 名 。 


另 一 件 需 要 "伪装 "的 事情 是 文档 根 目录 (由 DocumentRoot 配置 并 可 以 通过 pocuMENT_RooT 环境 
变量 为 CGI 脚本 所 使 用 )。 在 通常 的 配置 方式 下 ， 这些 设置 信息 由 核心 (core) 模 块 在 将 URI 映 射 
到 文件 系统 的 时 候 使 用 ， 但 是 如 果 使 用 动态 虚拟 主机 配置 ， 这 些 信息 将 由 另外 一 个 使 用 不 同 
于 核心 (core) 模 块 将 URI 映 射 到 文件 系统 的 方式 的 模块 ( mod vhost alias 或 mod rewrite ) 使 
用 。 这 两 个 模块 都 不 负责 设置 pocuMENT_RooT 环境 变量 ， 所 以 如 果 CGI 或 SSI 程 序 使 用 

了 pocuMENT_RooT 环境 变量 ， 那 么 将 得 到 错误 的 值 。 


简单 的 动态 虚拟 主机 


这 是 httpd.conf 文件 中 ， 完 成 和 上 文 动 机 部 分 所 提 到 的 虚拟 主机 一 样 效果 的 配置 方法 ， 但 这 
里 采用 了 mod vhost alias 模块 : 


# 从 "Host:" 头 中 取得 主机 名 

UseCanonicalName Off 

# 这 种 日 志 格 式 可 以 从 第 一 个 字段 中 提取 出 主机 名 

LogFormat "%V 96h %1 96u %t \"%r\" 96s %b" vcommon 
CustomLog logs/access log vcommon 

# 在 返回 请 求 的 文件 名 路 径 中 包含 主机 名 
VirtualDocumentRoot /www/hosts/%0/docs 


VirtualScriptAlias /www/hosts/%0/cgi-bin 


将 UseCanonicalName Off 的 配置 改 为 UseCanonicalName DNS 即 可 实现 基于 IP 地 址 的 虚拟 主 
机 。 而 在 文件 路 径 中 所 要 插入 的 服务 器 名 则 通过 虚拟 主机 的 IP 地 址 解析 得 到 。 


一 个 实际 的 个 人 主页 系统 


这 里 对 上 面 的 系统 作 了 一 点 调整 ， 便 可 作为 JSP 的 个 人 主页 服务 器 。 我 们 使 用 了 略微 复 杀 的 方 
法 ， 从 主机 名 (ServerName) 中 提取 子 字符 串 ， 并 插入 到 文件 路 径 中 。 在 这 个 例子 
中 www.user.isp.com 的 文档 将 在 /home/user/ 中 定位 。 并 对 所 有 虚拟 主机 使 用 单 


个 cgi-bin 目录 。 


# 所 有 之 前 的 准备 事项 和 上 面 一 样 ， 然 后 在 文件 路 径 中 包含 主机 名 
VirtualDocumentRoot /www/hosts/%2/docs 
# 单个 cgi-bin 目 录 


ScriptAlias /cgi-bin/ /www/std-cgi/ 
更 复杂 的 关于 VirtualDocumentRoot 的 设置 ， 可 以 查阅 mod vhost alias 文档 。 


在 同一 个 服务 器 上 染 设 多 个 主机 的 虚拟 系统 


更 复 条 的 设置 ， 应 该 使 用 Apache 的 <virtualHost> 容器 来 管理 各 种 虚拟 主机 配置 的 作用 域 。 
例如 ， 你 可 以 用 一 个 IP 地 址 来 给 个 人 主页 客户 使 用 ， 同 时 用 下 面 的 配置 提供 给 商业 客户 使 
用 。 自 然 的 ， 这 两 者 通过 运用 <virtualHost> 结合 到 一 起 。 


UseCanonicalName Off 

LogFormat "%V 96h 961 96u 96t \"%r\" 96s 96b" vcommon 
«Directory /www/commercial> 

Options FollowSymLinks 


AllowOverride All 
</Directory> 


<Directory /www/homepages> 
Options FollowSymLinks 


AllowOverride None 
</Directory> 


<VirtualHost 111.22.33.44> 

ServerName www.commercial.isp.com 
CustomLog logs/access_log.commercial vcommon 
VirtualDocumentRoot /www/commercial/960/docs 


VirtualScriptAlias  /www/commercial/960/cgi-bin 
«/NirtualHost» 


<VirtualHost 111.22.33.45> 

ServerName www.homepages.isp.com 
CustomLog logs/access log.homepages vcommon 
VirtualDocumentRoot /www/homepages/%0/docs 


ScriptAlias /cgi-bin/ /www/std-cgi/ 
«/NirtualHost» 


更 为 有 效 的 基于 IP 地 址 的 虚拟 主机 


在 第 一 个 例子 中 说 过 ， 转 为 基于 IP 地 址 的 虚拟 主机 设置 很 容易 做 到 。 但 不 幸 的 是 ， 那 种 做 法 
并 不 高 效 ， 因 为 这 样 会 在 每 次 处 理 请 求 时 ， 需 要 查询 DNS。 通 过 在 文件 系统 中 包含 IP 地 址 的 
做 法 可 以 避免 这 样 的 问题 。 这 样 一 来 ， 免 去 了 和 主机 名 的 关联 ， 在 日 志 记 录 中 也 一 样 可 以 用 
IP 来 分 离 不 同日 志 。Apache 将 不 会 为 了 确定 主机 名 (ServerName) 而 去 做 DNS 查 询 。 


# 从 IP 地 址 反 解析 得 到 主机 名 

UseCanonicalName DNS 

# 在 日 志 中 包含 TIP 地 址 ， 便 于 以 后 分 护 

LogFormat "%A 96h 961 96u 96t \"%r\" %s 96b" vcommon 
CustomLog logs/access log vcommon 

# 在 文件 路 径 中 包含 IP 地 址 

VirtualDocumentRootIP /www/hosts/%0/docs 


VirtualScriptAliasIP /www/hosts/%0/cgi-bin 


使 用 老 版 本 的 Apache 


上 面 的 例子 基于 mod vhost alias ， 但 它 是 在 版 本 1.3.6 之 后 才 出 现 的 。 如 果 你 的 版 本 比较 
老 ， 可 以 通过 使 用 mod rewrite 来 达到 相同 的 目的 ， 如 下 所 示 。 但 只 能 是 基于 "Host:" 头 方式 的 
虚拟 主机 。 


E qu 题 。Apache1.3.6 是 第 一 个 支持 " wv "日 志 格 式 指令 的 版 本 ， 在 版 
本 1.3.0-1.3.3 中 ，" «v "选项 做 和 " wv "一 样 的 事情 ; 而 在 版 本 1.3.4 中 没有 等 价 指 邻 。 在 所 有 
的 这 些 版 本 中 ， ES UseCanonicalName 可 以 出 现在 .htaccess 文件 中 ， 这 意味 着 客 户 的 设置 
可 能 会 导致 日 志 记 录 北 乱 。 所 以 最 好 的 做 法 是 使 用 " sHost)i "指令 ， 它 可 以 直接 记 

录 " Host: "Jk ; 注意 ， 这 样 可 能 在 末尾 包含 " :port "， 而 使 用 " «v " 则 不 会 这 样 。 


使 用 mod rewrite 实现 简单 的 动态 虚拟 主机 


这 里 的 例子 摘自 httpd.conf ， 效 果 等 同 于 第 一 个 例子 中 的 情况 。 前 半 部 分 和 上 面 的 例子 大 致 
相似 ， 只 是 为 了 向 后 兼容 mod rewrite 作 了 适当 修改 ; 后 半 部 分 配置 mod rewrite 来 做 实际 的 
工作 。 


有 些 特别 的 地 方 需要 注意 : 默认 情况 下 ， mod_rewrite 在 所 有 其 他 URI 转 换 模块 
( mod_alias 等 ) 之 前 运行 ， 所 以 如 果 使 用 这 些 模块 的 话 ， mod_rewrite 必须 作 相 应 的 调整 。 同 
时 ， 我 们 还 要 为 每 个 动态 虚拟 主机 变 些 戏法 ， 使 之 等 效 于 scriptAlias 


# 从 "Host:" 头 获取 主机 名 

UseCanonicalName Off 

# 可 分 拒 的 日 志 

LogFormat "%{Host}i 96h 96l 96u 96t \"%r\" 96s 96b" vcommon 
CustomLog logs/access log vcommon 

<Directory /www/hosts> 

# 这 里 需要 ExecCGI ， 因 为 我 们 不 能 强制 CGI 以 与 ScriptA1ias 相 同 的 方式 执行 


Options FollowSymLinks ExecCGI 
«/Directory» 


# 接 下 来 是 关键 部 分 

RewriteEngine On 

# 来 自 "Host:" 头 的 ServerName ， 可 能 大 小 写 混杂 

RewriteMap lowercase int:tolower 

## 首先 处 理 普 通 文档 

# 人 允许 变 名 /ijcons/ 起 作用 ， 其 他 变 名 类 同 

RewriteCond %{REQUEST_URI}  !^/icons/ 

# 人 允许 CGI 

RewriteCond %{REQUEST_URI}  !^/cgi-bin/ 

s 开始 " 变 戏法 " 

RewriteRule ^/(.*)$ /www/hosts/${lowercase:%{SERVER_NAME}}/docs/$1 
## 现在 处 理 CGI( 我 们 需要 强制 使 用 一 个 MIME 类 型 ) 

RewriteCond %{REQUEST_URI} 4/cgi-bin/ 

RewriteRule ^/(.*)$ /www/hosts/${lowercase:%{SERVER_NAME}}/cgi-bin/$1  [T-application/x 


# ok T! 


-| 0000 





使 用 mod rewrite 的 个 人 主页 系统 


这 里 的 配置 完成 和 第 二 个 例子 相同 的 工作 。 


RewriteEngine on 

RewriteMap lowercase int:tolower 

# 允许 CGI 工作 

RewriteCond %{REQUEST_URI}  !^/cgi-bin/ 

# 检查 hostname 正 确 与 否 ， 之 后 才能 使 RewriteRule 起 作用 
RewriteCond ${lowercase:%{SERVER NAME}} Awww\. [a-z-]+\.isp\.com$ 
# 将 虚拟 主机 名 字 连 接 到 URI 的 开头 

# [C] 表 明 本 次 重 写 的 结果 将 在 下 一 个 rewrite 规 则 中 使 用 
RewriteRule ^(.+) ${lowercase:%{SERVER_NAME}}$1 [C] 
# 现在 创建 实际 的 文件 名 

RewriteRule Awww\.([a-z-]+)\.isp\.com/(.*) /home/$1/$2 
# 定义 全 局 CGI 目录 


ScriptAlias /cgi-bin/ /www/std-cgi/ 


使 用 独立 的 虚拟 主机 配置 文件 
这 样 的 布局 利用 了 mod_rewrite 的 高 级 特性 ， 在 独立 的 虚拟 主机 配置 文件 中 转换 。 如 此 可 以 更 
为 灵活 ， 但 需要 较为 复杂 的 设置 。 
vhost ,map 文件 包含 了 类 似 下 面 的 内 容 : 
www.customer-1.com /www/customers/1 
www.customer-2.com /www/customers/2 


HB... 


www.customer-N.com /www/customers/N 


http.conf 包含 了 : 


RewriteEngine on 

RewriteMap lowercase int:tolower 

# 定义 映射 文件 

RewriteMap vhost txt :/www/conf /vhost .map 

# 和 上 面 的 例子 一 样 ， 处 理 别 名 

RewriteCond %{REQUEST_URI} !A/icons/ 
RewriteCond %{REQUEST_URI} !A/cgi-bin/ 
RewriteCond ${lowercase:%{SERVER_NAME}} ^(.+)$ 


# 这 里 做 基于 文件 的 重新 映射 


RewriteCond ${vhost:%1} ^(/.*)$ 
RewriteRule ^/(.*)$ %1/docs/$1 
RewriteCond %{REQUEST_URI} A/cgi-bin/ 


RewriteCond ${lowercase:%{SERVER_NAME}} ^(.+)$ 
RewriteCond ${vhost:%1} ^(/.*)$ 


RewriteRule ^/(.*)$ %1/cgi-bin/$1 


虚拟 主机 示例 


本 文档 试图 解释 一 些 在 设置 虚拟 主机 时 经 常 问 及 的 问题 。 这 些 示例 向 你 展示 了 如 何在 一 个 服 
务 器 上 通过 基于 域名 的 或 是 基于 IP 的 虚拟 主机 来 部 署 多 个 web 站 点 。 另 一 份 关于 如 何在 一 个 代 
理 服 务 器 后 构建 基于 多 个 服务 器 的 站 点 的 说 明文 档 也 很 快 就 会 出 来 。 


在 一 个 IP 地 址 上 运行 多 个 基于 域名 的 web 站 点 


您 的 服务 器 有 只 一 个 IP 地 址 ， 而 在 DNS 中 有 很 多 域名 (CNAMES) 映 射 到 这 个 机 器 。 您 而 您 想 
要 在 这 个 机 器 上 运行 www.example.com 和 www.example.org 两 个 站 点 。 


注意 

在 您 的 Apache 服 务 器 配置 中 创建 一 个 虚拟 主机 并 不 会 自动 在 您 的 DNS 中 对 主机 名 做 相应 更 
新 。 您 必须 自己 在 DNS 中 添加 域名 来 指向 您 的 IP 地 址 。 否 则 别人 是 无 法 看 到 您 的 web 站 点 的 。 
您 可 以 在 您 的 hosts 文件 中 添加 这 一 条 目 来 进 行 测试 ， 但 这 种 方法 公 适 用 于 那些 有 这 

些 hosts 文件 的 机 器 来 使 用 。 


丘 


A A ss Boi 


# 确保 Apache 在 监听 80 端 口 
Listen 80 
# 为 虚拟 主机 在 所 有 IP 地 址 上 监听 
NameVirtualHost *:80 
<VirtualHost *:80> 
DocumentRoot /www/examplei 
ServerName www.example.com 


# 你 可 以 在 这 里 添加 其 他 指令 
</VirtualHost> 


<VirtualHost *:80> 
DocumentRoot /www/example2 
ServerName www.example.org 


# 你 可 以 在 这 里 添加 其 他 指令 
</VirtualHost> 


因为 星 号 匹配 所 有 IP 地 址 ， 所 以 主 服务 器 不 接收 任何 请 求 。 因 为 ww.example.com 首先 出 现在 
配置 文件 中 ， 所 以 它 拥 有 最 高 优先 级 ， 可 以 认为 是 <cite class="calibre27"> 默 认 </cite> 或 <cite 
class="calibre27"> 主 </cite> 服 务 器 。 这 意味 着 如 果 一 个 请 求 不 能 与 某 个 serverName 指 邻 相 匹 
配 ， 它 将 会 由 第 一 个 <VirtualHost> 段 所 伺服 。 


sy ate 
TE 


如 果 您 愿意 ， 您 可 以 用 确定 的 IP 地 址 来 取代 "* "。 在 这 种 情况 下 ， virtualHost 的 参数 必须 
与 NameVirtualHost 的 参数 相符 


NameVirtualHost 172.20.30.40 
«VirtualHost 172.20.30.40» 


# Rf... 


然而 ， 当 您 的 IP 地 址 无 法 确定 的 时 候 ， 使 用 " * "是 很 方便 的 ， 比 如 说 ， 您 的 ISP 给 您 配置 的 是 
动态 IP 地 址 ， 而 您 又 使 用 了 某 种 动态 域名 解析 系统 时 。 因 为 "* "匹配 任何 IP 地 址 ， 所 以 在 这 
种 情况 下 ， 不 论 IP 地 址 如 何 变化 ， 您 都 不 需要 另外 进行 配置 。 


上 述 配置 就 是 您 在 绝 大 多 数 情况 下 使 用 基于 域名 的 虚拟 主机 时 将 要 用 到 的 。 事 实 上 ， 公 在 一 
种 情况 下 这 样 的 配置 不 会 让 您 满意 : 您 想 为 不 同 的 IP 地 址 或 是 端口 提供 不 同 的 内 容 。 


在 多 于 一 个 IP 的 情况 下 使 用 基于 域名 的 虚拟 主机 。 


NE 
LERRA 


在 这 里 讨论 的 任何 技术 都 可 以 推广 到 使 用 任意 数量 的 IP 地 址 。 


服务 器 有 两 个 IP 地 址 。 一 个 ( 172.20.30.40 ) 用 于 主 服务 器 server.domain.com ， 另 外 一 个 
( 172.20.30.50 ) 用 于 构建 两 个 或 多 个 虚拟 主机 。 


A 4 ss Boi 


Listen 80 

H " 主 "服务 器 运行 于 : 172.20.30.40 

ServerName server.domain.com 

DocumentRoot /www/mainserver 

# 这 是 另外 一 个 IP 地 址 

NameVirtualHost 172.20.30.50 

<VirtualHost 172.20.30.50> 

DocumentRoot /www/examplei 

ServerName www.example.com 


# 你 可 以 在 这 里 添加 其 他 指令 ... 
«/NirtualHost» 


<VirtualHost 172.20.30.50> 
DocumentRoot /www/example2 
ServerName www.example.org 


# 你 可 以 在 这 里 添加 其 他 指令 ，.. 
«/NirtualHost» 


任何 不 是 针对 172.20.30.50 AiG RASAR ae RAR. MEI 172.20.30.50 却 没有 主 
机 名 或 没有 "Host:" 头 的 请 求 ， 都 将 由 www. example.com 伺服 。 


在 不 同 的 IP 的 地 址 (比如 一 个 内 部 和 一 个 外 部 地 址 ) 上 提 
供 相 同 的 内 容 
服务 器 有 两 个 IP 地 址 ( 192.168.1.1 和 172.20.30.40 )。 这 个 机 器 位 于 内 部 (局 域 网) 网 络 和 外 部 


(广域网 ) 之 间 。 在 外 部 ， 域 名 server.example.com 指向 外 部 地 址 ( 172.20.30.40 )， 而 在 内 部 则 
指向 内 部 地 址 ( 192.168.1.1 )。 


服务 器 可 以 为 来 自 内 部 和 外 部 的 请 求 提供 同样 的 内 容 ， 您 只 需要 一 个 €virtualHost» 配置 段 就 
可 以 了 。 


A 4 ss Bol 


NameVirtualHost 192.168.1.1 
NameVirtualHost 172.20.30.40 
<VirtualHost 192.168.1.1 172.20.30.40> 
DocumentRoot /www/serveri 
ServerName server.example.com 


ServerAlias server 
</VirtualHost> 


现在 ， 从 不 同 的 网 络 提交 的 请 求 都 会 由 同一 个 «virtualHost» 段 来 伺服 。 


MI 
LERRA 


在 内 网 中 ， 您 可 以 使 用 server 这 个 名 字 来 代替 server.example.com 这 个 全 名 。 


跟 上 面 一 样 ， 在 上 述 的 例子 里 ， 您 可 以 用 " * "来 代替 具体 的 IP 地 址 ， 这 祥 就 可 以 对 所 有 的 地 
址 都 返回 相同 的 内 容 了 。 


在 不 同 的 端口 上 运行 不 同 的 站 点 
如 果 您 想 让 同一 个 IP 的 不 同 端口 伺服 多 个 域名 。 您 可 以 借助 在 NanevirtualHost HSE i 


口 的 方法 来 达到 这 个 目的 。 如 果 您 想 使 用 不 带 " name:port "的 <virtualHost name:port» 或 是 直 
接 用 Listen 指令 ， 您 的 配置 将 无 法 生效 。 


A A as Ao ies 


Listen 80 

Listen 8080 

NameVirtualHost 172.20.30.40:80 

NameVirtualHost 172.20.30.40:8080 

<VirtualHost 172.20.30.40:80> 
ServerName www.example.com 


DocumentRoot /www/domain-80 
</VirtualHost> 


<VirtualHost 172.20.30.40:8080> 
ServerName www.example.com 


DocumentRoot /www/domain-8080 
</VirtualHost> 


<VirtualHost 172.20.30.40:80> 
ServerName www.example.org 


DocumentRoot /www/otherdomain-80 
</VirtualHost> 


<VirtualHost 172.20.30.40:8080> 
ServerName www.example.org 


DocumentRoot /www/otherdomain-8080 
</VirtualHost> 


建立 基于 IP 的 虚拟 主机 


一 个 有 两 个 IP 地 址 ( 172.20.30.40 和 172.20.30.50 ) 分 别 对 应 域 
名 www.example.com 和 www.example.org 的 配置 如 下 : 
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Listen 80 
«VirtualHost 172.20.30.40» 
DocumentRoot /www/examplei 


ServerName www.example.com 
«/NirtualHost» 


«VirtualHost 172.20.30.50» 
DocumentRoot /www/example2 


ServerName www.example.org 
«/NirtualHost» 


如 果 存 在 主 服 务 器 ， 那 么 对 没有 出 现在 任 一 个 <virtualHost> 段 中 的 请 求 (比如 ， 
对 localhost 的 请 求 ) 者 会 由 主 服务 器 来 伺服 。 


混用 基于 靖 口 和 基于 IP 的 虚拟 主机 


如 果 您 的 服务 器 有 两 个 IP 地 址 ( 172.20.30.40 和 172.20.30.50 ) 分 别 对 应 域 
名 www.example.com 和 www.example.org 。 对 每 个 域名 ， 您 都 希望 在 80 端 口 和 8080 端 口 发 布 您 
的 网 站 。 您 可 以 这 样 配置 : 
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Listen 172.20.30.40:80 

Listen 172.20.30.40:8080 

Listen 172.20.30.50:80 

Listen 172.20.30.50:8080 

<VirtualHost 172.20.30.40:80> 
DocumentRoot /www/examplei-80 


ServerName www.example.com 
</VirtualHost> 


<VirtualHost 172.20.30.40:8080> 
DocumentRoot /www/examplei-8080 


ServerName www.example.com 
</VirtualHost> 


<VirtualHost 172.20.30.50:80> 
DocumentRoot /www/example2-80 


ServerName www.example.org 
</VirtualHost> 


<VirtualHost 172.20.30.50:8080> 
DocumentRoot /www/example2-8080 


ServerName www.example.org 
</VirtualHost> 


混用 基于 域名 和 基于 IP 的 虚拟 主机 


您 想 在 一 些 地 址 上 配置 基于 域名 的 虚拟 主机 而 在 另外 一 些 地 址 上 配置 基于 IP 的 虚拟 主机 。 


A A ss Boi 


Listen 80 

NameVirtualHost 172.20.30.40 

«VirtualHost 172.20.30.40» 
DocumentRoot /www/examplei 


ServerName www.example.com 
«/NirtualHost» 


«VirtualHost 172.20.30.40» 
DocumentRoot /www/example2 


ServerName www.example.org 
«/NirtualHost» 


«VirtualHost 172.20.30.40» 
DocumentRoot /www/example3 


ServerName www.example3.net 
</VirtualHost> 


# IP-based 
<VirtualHost 172.20.30.50> 
DocumentRoot /www/example4 


ServerName www.example4.edu 
</VirtualHost> 


<VirtualHost 172.20.30.60> 
DocumentRoot /www/example5 


ServerName www.example5.gov 
</VirtualHost> 


将 «virtual host» 和 mod proxy 模块 一 起 使 用 


下 面 的 例子 允许 一 个 前 端 机 器 代理 一 个 运行 在 其 他 机 器 上 的 虚拟 主机 。 在 如 下 示例 中 ， 

在 192.168.111.2 机 器 上 配置 了 一 个 同名 的 虚拟 主机 。 这 样 ， 万 一 在 同一 台 机 器 上 代理 了 多 个 
主机 名 ， [ProxyPreserveHost](#calibre_link-670) On 指使 能 确保 指定 的 主机 名 顺利 通过 代 
IE, 


<VirtualHost *:*> 
ProxyPreserveHost On 
ProxyPass / http://192.168.111.2 
ProxyPassReverse / http://192.168.111.2/ 
ServerName hostname.example.com 


</VirtualHost> 


使 用 "” default "虚拟 主机 


为 所 有 端口 配置 "_default_ "虚拟 主机 


这 样 配置 可 以 捕获 所 有 指向 没 指定 的 IP 地 址 和 端口 的 请 求 。 比 如 : 一 个 没 被 任何 虚拟 主机 使 
用 的 地 址 /端口 对 。 
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«VirtualHost default :*» 


DocumentRoot /www/default 
«/NirtualHost» 


这 样 一 个 使 用 通配符 端口 的 默认 虚拟 主机 可 以 有 效 的 防止 请 求 被 主 服务 器 接收 。 


如 果 一 个 地 址 /端口 对 已 经 被 一 个 基于 域名 的 虚拟 主机 使 用 ， ABZ" default. "虚拟 主机 决 不 会 
处 理发 向 这 个 地 址 /端口 对 的 请 求 。 如 果 一 个 " Host: "请 求 头 中 包含 未 知 信息 ， 或 者 干脆 就 没 
有 ， 那 么 它 会 被 第 一 个 基于 域名 的 虚拟 主机 (也 就 是 在 配置 文件 中 最 先 出 现 的 使 用 了 那个 地 址 / 
端口 对 的 虚拟 主机 ) 处 理 。 


您 可 以 用 AliasMatch 或 RewriteRule 来 重 写 任 何 请 求 ， 使 它 指 向 一 个 简 单 信息 页 面 (或 脚本 )。 


为 不 同 的 端口 配置 "_default_ "虚拟 主机 


与 第 一 种 一 样 ， 但 我 们 想 让 服务 器 侦 听 很 多 端口 而 第 二 个 " _default "虚拟 主机 单独 侦 听 80 端 
口 。 


A 4 ss Boi 


<VirtualHost default :80> 


DocumentRoot /www/default80 


Thy: 
«/NirtualHost» 
«VirtualHost default :*» 


DocumentRoot /www/default 


HA 
«/NirtualHost» 


侦 听 80 端 口 的 "_default_ "虚拟 主机 (必须 出 现在 所 有 使 用 通配符 端口 的 虚拟 主机 之 前 ) 会 捕获 
所 有 发 向 一 个 未 指定 的 IP 地 址 的 请 求 。 主 服务 器 将 不 会 用 于 伺服 任何 请 求 。 


A X*5—^xmDBB" default "虚拟 主机 


如 果 我 们 只 想 在 80 端 口上 建立 唯一 的 一 个 "_default_ "虚拟 主机 ， 我 们 应 该 这 样 配置 : 


A 4 ss Boi 


<VirtualHost default :80» 


DocumentRoot /www/default 


«/NirtualHost» 


发 向 一 个 未 指定 地 址 的 80 端 口 的 请 求 将 会 由 这 个 虚拟 主机 伺服 ; 而 发 向 未 设 定 地 址 的 其 他 端 
口 的 请 求 则 由 主 服 务 器 伺服 。 


将 一 个 基于 域名 的 虚拟 主机 移植 为 一 个 基于 IP 的 虚拟 主 
机 
如 果 一 个 具有 www.example.org 域名 的 虚拟 主机 (就 是 基于 域名 配置 示例 中 的 第 二 个 ) 得 到 了 自 


己 的 IP 地 址 。 为 了 避免 一 些 域名 服务 器 或 代理 服务 器 在 移植 期 间 仍 对 这 个 域名 做 老 的 解析 ， 
我 们 可 以 采用 一 种 过 渡 方 法 : 同时 提供 新 旧 两 个 IP 地 址 的 解析 。 


到 这 个 目的 很 简单 。 因 为 我 们 只 要 简单 的 把 新 地 址 ( 172.20.30.50 ) 加 入 virtualHost 指令 就 


equ 


A A as Bc 


Listen 80 
ServerName www.example.com 
DocumentRoot /www/examplei 
NameVirtualHost 172.20.30.40 
«VirtualHost 172.20.30.40 172.20.30.50» 
DocumentRoot /www/example2 
ServerName www.example.org 


Ts 
«/NirtualHost» 


«VirtualHost 172.20.30.40» 
DocumentRoot /www/example3 
ServerName www.example.net 
ServerAlias *.example.net 


dirus 
«/NirtualHost» 


现在 这 个 虚拟 主机 就 可 以 用 新 地 址 (表现 为 一 个 基于 IP 的 虚拟 主机 ) 和 旧地 址 (表现 为 一 个 基于 
域名 的 虚拟 主机 ) 同 时 进行 访问 了 。 


使 用 ServerPath 指令 


如 果 我 们 在 同一 个 服务 器 上 运行 了 两 个 基于 域名 的 虚拟 主机 。 为 了 匹配 正确 的 虚拟 主机 ， 客 
户 端 必须 发 送 正确 的 " Host:" 头 。 而 旧 的 使 用 HTTP/1.0 的 客户 端 无 法 发 送 这 样 的 头 ， 这 样 
Apache 就 无 法 辨别 客户 端 想 要 连接 哪个 虚拟 主机 (会 用 主 虚 拟 主机 来 伺服 这 个 请 求 )。 为 了 尽 
量 提 供 向 下 兼容 性 ， 我 们 可 以 提供 一 个 主 虚拟 主机 来 返回 一 个 页 面 ， 在 页 面 中 加 入 指向 基于 
域名 的 虚拟 主机 的 URL 前 级 的 链接 。 
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NameVirtualHost 172.20.30.40 
«VirtualHost 172.20.30.40» 
# 主 虚 拟 主机 
DocumentRoot /www/subdomain 
RewriteEngine On 
RewriteRule ^/.* /www/subdomain/index.html 


Tice 
«/NirtualHost» 


«VirtualHost 172.20.30.40» 
DocumentRoot /www/subdomain/subi 
ServerName www.sub1.domain.tld 
ServerPath /subi/ 
RewriteEngine On 
RewriteRule ^(/sub1/.*) /www/subdomain$1 


TL 
«/NirtualHost» 


«VirtualHost 172.20.30.40» 
DocumentRoot /www/subdomain/sub2 
ServerName www.sub2.domain.tld 
ServerPath /sub2/ 
RewriteEngine On 
RewriteRule ^(/sub2/.*) /www/subdomain$1 


TET 
«/NirtualHost» 


由 于 serverPath 指 兮 的 作用 ， RIKE 到 http://www.sub1.domain.tld/sub1/ 的 请 求 总 会 被 sub1- 
Med 如 果 客 户 端 发 送 了 正确 的 " Host: "Jc, BIKE nttp://www.subi.domain.tld/ 的 
求 只 会 被 sub1-vhost 所 伺服 。 如 果 没 有 发 送 " Host: " 头 ， 客 户 端 将 会 得 到 从 主 虚 拟 主 机 发 送 

AMA 


请 注意 ， 这 里 还 有 一 点 小 问题 : DDR M EE Host: "X, RIX 
到 http://www.sub2.domain.tld/subi/ 的 请 求 还 是 会 被 sub1-vhost 所 伺服 。 


RewriteRule 指令 用 以 确保 正确 发 送 了 " Host: " 头 的 客户 端 可 以 任意 使 用 这 两 种 URL 变 量 ， 比 
如 说 : 使 用 或 不 使 用 URL 前 级 。 


深入 研究 虚拟 主机 的 匹配 


虚拟 主机 部 分 的 代码 在 Apache 1.3 中 进行 了 完全 的 重 写 。 本 文档 试图 详细 解释 Apache 在 接受 
到 请 求 后 如 何 确定 使 用 哪 一 个 虚拟 主机 进行 伺服 。 在 新 的 NameVirtualHost 指使 的 帮助 下 ， 虚 
拟 主 机 的 配置 比 1.3 版 以 前 更 加 简单 和 安全 。 


如 果 您 只 是 想 <cite class="calibre27"> 让 它 能 够 工作 </cite> 而 不 愿意 进行 深入 理解 ， 这 里 有 一 
些 示例 。 


解析 配置 文件 


在 <virtualHost> 配置 段 外 有 一 个 主 服务 器 (main_server) 段 中 包含 着 所 有 定义 。 其 中 
有 <VirtualHost> 配置 段 中 定义 的 叫做 虚拟 主机 (vhost) 的 虚拟 服务 器 。 


Listen , ServerName , ServerPath , ServerAlias 指令 可 以 出 现在 一 个 服务 器 定义 段 的 任何 地 
方 。 而 且 每 个 指使 都 会 覆盖 前 面 出 现 的 同样 定义 (在 那个 服务 器 配置 中 )。 


主 服 务 器 段 中 Listen 指 倒 的 默认 值 是 80。 主 服务 器 段 没有 默认 
的 serverPath 和 serverAlias 指令 值 。 serverName 的 默认 值 是 由 服务 器 的 IP 地 址 推断 而 来 。 


主 服 务 器 的 Listen 指令 有 两 个 功能 : 其 一 是 决定 Apache 将 要 绑 定 的 网 络 端 口 ; 其 二 是 在 重 
定向 中 指定 绝对 URI 将 使 用 的 端口 号 。 


不 象 在 主 服务 器 里 ， 虚 拟 服务 器 的 端口 不 会 影响 到 Apache 的 监听 端口 。 


每 个 virtualHost 指令 中 的 地 址 都 可 以 附带 一 个 可 选 的 端口 。 如 果 没 有 进行 特别 的 指定 ， 这 个 
端口 默认 为 主 服务 器 中 最 近 的 一 个 Listen 指令 指定 的 值 。 特 殊 的 端口 " * "表示 匹配 所 有 端 
口 。 所 有 这 一 系列 地 址 (包括 由 DNS 查询 出 的 所 有 A 记录 ) 统 称 虚 拟 主 机 的 地 址 集 (address 


set). 


如 果 没 有 对 一 个 特定 的 IP 地 址 使 用 NameVirtualHost HED, 那么 第 一 个 使 用 这 个 地 址 的 虚拟 主 
机 将 被 视 为 基于 IP 的 虚拟 主机 。IP 地 址 也 可 以 用 通配符 " * "表示 。 


如 果 使 用 了 基于 域名 的 虚拟 主机 ， 那么 必须 用 NameVirtualHost ES A 这 个 基于 域名 的 虚拟 主 
机 指定 IP 地 址 集 。 换 句 话说， 您 必须 在 配置 文件 中 通过 NamevirtualHost 指令 指定 包括 主机 名 
映射 (CNAME) 的 IP 地 址 。 


可 以 使 用 很 多 NamevirtualHost 指令 来 分 别 对 应 一 套 NamevirtualHost 指令 ， 但 对 于 每 个 特定 
的 "IP:port" 对 来 说 ， 只 能 使 用 一 次 NamevirtualHost 指令 。 


NameVirtualHost 和 virtualHost 指令 出 现 的 顺序 并 不 重要 。 只 有 对 应 _ 同 一 个 _IP 地 址 
的 virtualHost 指令 的 次 序 才 是 重要 的 。 所 以 下 面 两 例 所 起 的 作用 是 完全 相同 的 : 


NameVirtualHost 111.22. 


&lt;VirtualHost 111.22. 


4 server A 


&lt;/VirtualHost&gt; 


&lt;VirtualHost 111.22. 


4 server B 


&lt;/VirtualHost&gt; 


NameVirtualHost 111.22. 


&lt;VirtualHost 111.22. 


4 server C 


&lt;/VirtualHost&gt; 


&lt;VirtualHost 111.22. 


4 server D 


&lt;/VirtualHost&gt; 


33. 


33. 


33. 


33. 


33. 


33. 


44 


44&gt ; 


44&gt ; 


55 


55&gt; 


55&gt; 


&lt;VirtualHost 111.22.33.44&gt; 
# server A 

&lt;/VirtualHost&gt; 
&lt;VirtualHost 111.22.33.55&gt; 


4 server C 


&lt;/VirtualHost&gt; 
&lt;VirtualHost 111.22.33.44&gt; 


4 server B 


&lt;/VirtualHost&gt; 
&lt;VirtualHost 111.22.33.55&gt; 


4 server D 


&lt;/VirtualHost&gt; 
NameVirtualHost 111.22.33.44 


NameVirtualHost 111.22.33.55 


(为 了 使 您 的 配置 文件 更 具 可 读 性 ， 我 们 推荐 您 使 用 左边 的 格式 ) 


在 解析 完 VirtualHost ESR, 虚拟 主机 服务 器 将 被 赋予 在 它 的 VirtualHost 指令 中 第 一 个 名 
字 对 应 的 端口 作为 默认 的 Listen 端口 。 


如 果 所 有 域名 都 指向 同一 个 地 址 集 的 话 ， virtualHost 指令 中 的 所 有 域名 列表 都 将 会 得 
和 ServerAlias 指使 一 样 的 处 理 (但 不 会 被 其 他 ServerAlias ié 8 5)18 us). 请 青 注 意 ， àx 7| 
机 自 带 的 Listen 指令 将 不 能 影响 到 那个 地 址 集 的 端口 号 。 


ae 


在 初始 化 的 过 程 中 ， 将 会 为 每 一 个 IP 地 址 产生 一 个 列表 ， 并 插入 到 一 个 散 列 表 中 。 如 果 这 个 IP 
地 址 是 用 在 一 个 NamevirtualHost 指令 中 的 ， 这 个 列表 将 会 包含 所 有 指定 为 这 个 IP 地 址 的 基于 
域名 的 虚拟 主机 。 如 果 没 有 虚拟 主机 针对 这 个 IP 地 址 ， 那么 NameVirtualHost i8 兮 将 被 忽略 ， 
并 会 在 日 志 中 记录 一 个 错误 信息 。 对 于 基于 IP 的 虚拟 主机 而 言 ， 这 个 散 列 表 中 的 列表 为 空 。 


因为 使 用 了 高 效 的 散 列 算法 ， 使 得 求 到 达 的 时 候 在 其 中 查找 IP 地 址 的 开销 变 得 很 小 ， 或 
者 根本 不 需 考 虑 。 而 且 这 个 表格 还 da BUR E 
虚拟 主机 的 每 个 变量 都 有 初始 值 。 特 别 是 以 下 这 些 : 


1. 如 果 虚 拟 主 机 没有 ServerAdmin , ResourceConfig , AccessConfig , Timeout , 
KeepAliveTimeout , KeepAlive , MaxKeepAliveRequests , ReceiveBufferSize , 
SendBuffersize 指令 ， 那 么 将 从 主 服务 器 继承 它们 的 值 。( 也 就 是 说 ， 使 用 在 主 服务 器 中 
最 后 出 现 的 设 定 值 )。 


2. 虚拟 主机 的 默认 目录 权限 将 继承 主 服 务 器 的 设置 (包括 所 有 模块 针对 每 个 目录 的 配置 信 
息 )。 
3. 虚拟 主机 将 继承 主 服 务 器 中 每 个 模块 针对 主 服务 器 的 设置 。 


本 质 上 ， 主 服务 器 在 建立 每 个 虚拟 主机 的 时 候 ， 充 当 了 一 个 默认 值 或 根基 的 角色 。 但 这 些 存 
在 于 主 服务 器 中 的 定义 的 位 置 是 无 关 紧 要 的 一 一 主 服 务 器 的 配置 在 与 虚拟 主机 整合 之 前 就 已 
经 解析 过 了 。 所 以 即使 一 个 主 服 务 器 的 配置 出 现在 虚拟 主机 定义 的 后 面 ， 它 也 同样 会 影响 到 
虚拟 主机 的 配置 。 


如 果 没 有 定义 主 服务 器 中 的 serverName ， 那 么 将 由 运行 这 个 httpd 服务 的 机 器 的 主机 名 来 代 
蔡 。 我 们 将 由 DNS 坦 找 此 serverName 返回 的 IP 地 址 称 为 主 服务 器 地 址 集 (main_server 
address set), 


在 没有 定义 ServerName 的 情况 下 ， 一 个 基于 域名 的 虚拟 主机 默认 采用 定义 虚拟 主机 时 
在 virtualHost 指令 中 最 先 出 现 的 地 址 。 


所 有 使 用 了 " defaut "通配符 的 虚拟 主机 将 被 赋予 和 主 服务 器 相同 的 serverName o 


虚拟 主机 匹配 


服务 器 用 下 述 方法 来 确定 对 一 个 特定 的 请 求 使 用 哪个 虚拟 主机 : 


散 列 表 查 找 
当 客户 端 第 一 次 连接 的 时 候 ， 会 从 内 部 的 IP 散 列表 中 坦 找 客户 端 想 要 连接 的 |P 地 址 。 


如 果 查 找 失败 (没有 找到 相应 的 IP 地 址 )， 而 所 请 求 的 端口 又 存在 一 个 "_default_ "虚拟 主机 ， 
那么 这 个 请 求 将 会 由 这 个 虚拟 主机 来 体 服 。 如 果 没 有 找到 这 样 的 _default_ "虚拟 主机 ， 那 么 
这 个 请 求 将 会 由 主 服务 器 来 伺服 。 


如 果 在 散 列 表 中 没有 找到 IP 地 址 ， 但 存在 一 个 " NamevirtualHost * "指使 与 所 请 求 的 端口 号 相 
匹配 ， 那 么 将 用 这 个 虚拟 主机 来 处 理 这 个 请 求 。 


如 果 查 找 成 功 (找到 了 对 应 于 这 个 IP 地 址 的 列表 )， 下 一 步 就 是 看 我 们 要 处 理 的 是 一 个 基于 IP 的 
虚拟 主机 还 是 一 个 基于 域名 的 虚拟 主机 。 


基于 IP 的 虚拟 主机 


如 果 返 回 的 列表 中 域名 列表 为 空 ， 那 么 我 们 你 理 的 就 是 一 个 基于 IP 的 虚拟 主机 ， 这 个 虚拟 主 
机 将 会 直接 进行 处 理 而 不 会 有 其 他 步骤 。 


基于 域名 的 虚拟 主机 


如 果 返 回 的 域名 列表 包含 一 个 或 多 个 虚拟 主机 的 结构 ， 那 么 我 们 处 理 的 就 是 一 个 基于 域名 的 
虚拟 主机 。 这 个 列表 包含 的 虚拟 主机 的 顺序 与 配置 文件 中 相应 virtualHost 指 合 出 现 的 顺序 是 
相同 的 。 


这 个 列表 中 第 一 个 虚拟 主机 (也 就 是 在 配置 文件 中 第 一 个 指定 了 这 个 IP 地 址 的 虚拟 主机 ) 对 义理 
请 求 有 着 最 高 的 优先 级 。 所 有 对 未 知 服务 器 名 或 没有 " Host: " 头 的 请 求 都 将 由 它 进 行 处 理 。 


如 果 客 户 端 在 请 求 中 提供 了 一 个 " Host: " 头 ， 那 么 将 在 列表 中 查找 第 一 
个 serverName 或 serveralias 与 其 符合 的 虚拟 主机 ， 并 将 其 用 于 伺服 这 个 请 求 。 尽 
E" Host: " 头 中 可 以 包含 端口 号 ， 但 Apache 还 是 会 用 收 到 请 求 的 那个 真实 端口 来 进行 匹配 。 


如 果 客 户 端 提交 了 一 个 不 包含 " Host: " 头 的 HTTP/1.0 的 请 求 ， 我 们 将 无 法 确认 客户 端 想 要 连 
接 那 个 服务 器 。 而 如 果 存 在 一 个 serverPath 与 客户 端 提交 的 请 求 中 的 URI 相 对 应 ， 那 么 列表 
中 第 一 个 符合 条 件 的 虚拟 主机 将 用 于 伺服 这 个 请 求 。 


如 果 还 是 找 不 到 对 应 的 虚拟 主机 ， 那 么 这 个 请 求 将 会 由 客户 端 连接 的 IP 对 应 的 列表 中 的 第 一 
个 与 请 求 的 端口 相同 的 虚拟 主机 来 伺服 (如 前 所 述 )。 


持久 连接 


上 述 IP 查 找 对 一 个 特定 的 TCP/IP 进 程 只 执行 一 次 。 但 在 持久 连接 (KeepAlive) 中 ， 每 个 请 求 都 
会 进行 一 次 这 样 的 查找 过 程 。 换 句 话 说 ， 一 个 客户 端 在 一 个 持久 连接 中 可 以 向 位 于 不 同 的 基 
于 域名 的 虚拟 主机 的 页 面 提 出 请 求 。 


绝对 URI 


如 果 请 求 提交 的 URI 是 一 个 绝对 URI， 而 其 中 的 主机 名 和 端口 号 又 和 主 服务 器 或 某 个 虚拟 主机 
相符 合 ， 并 且 也 与 作为 此 请 求 提交 对 象 的 地 址 和 端口 相符 ， 那 么 这 个 请 求 的 类 型 /主机 名 /端口 
前 级 将 被 抹 除 ， 仅 留 下 相对 URI 为 对 应 的 主 服 务 器 或 虚拟 主机 所 伺服 。 如 果 不 满足 上 述 符合 条 
件 ， 这 个 URI 将 保留 原 祥 ， 而 此 请 求 将 被 作为 一 个 代理 请 求 处 理 。 


SSH 


。 基于 域名 的 虚拟 主机 和 基于 IP 的 虚拟 主机 之 间 互 相 不 干扰 。 基 于 IP 的 虚拟 主机 只 接受 发 送 
到 它 自身 地 址 集 的 请 求 ， 而 不 接受 其 他 IP 地 址 。 基 于 域名 的 虚拟 主机 也 是 一 样 ， 它 们 只 
接受 NamevirtualHost 指使 定义 的 地 址 集 的 访问 。 

e 永远 不 会 对 一 个 基于 IP 的 虚拟 主机 执行 serverAlias 和 serverPath 检查 。 

。 在 配置 文件 中 ， 基 于 域名 的 虚拟 主机 、 基 于 IP 的 虚拟 主机 、”_defauit_ "虚拟 主机 
和 NameVirtualHost 指令 出 现 的 顺序 并 不 重要 。 而 对 于 某 个 指定 的 地 址 集 来 说 ， 基 于 域名 
的 虚拟 主机 的 顺序 是 不 能 混淆 的 : 在 配置 文件 中 较 先 出 现 的 虚拟 主机 在 相应 的 地 址 集中 
有 较 高 的 优先 权 。 

e 出 于 安全 性 的 考虑 ， 在 " Host: " 头 中 出 现 的 端口 号 将 不 用 于 匹配 。Apache 会 一 直 使 用 客 


户 端 所 连接 的 真实 端口 作为 匹配 。 

。 如 果 一 个 serverPath 指令 凑巧 是 后 面 出 现 的 另外 一 个 serverPatn 指令 的 前 级 ， 前 者 将 用 
于 匹配 ， 而 后 者 将 被 忽略 。( 这 里 讨论 的 是 没有 " nost: " 头 来 将 这 两 个 情况 分 开 的 情况 下 ) 

e 如 果 有 两 个 基于 IP 的 虚拟 主机 使 用 了 同一 个 地 址 ， 则 在 配置 文件 中 首先 出 现 的 那个 用 于 
匹配 。 这 种 事情 可 能 发 生 在 你 疏忽 的 时 候 。 当 服务 器 遇 到 这 种 情况 的 时 候 ， 会 在 日 志 
件 中 写 入 一 个 错误 信息 。 

e 仅 当 没有 其 他 虚拟 主机 符合 客户 端 请 求 的 IP 地 址 和 端口 号 时 ，”_default "虚拟 主机 才 会 
捕获 这 个 请 求 。 并 且 仅 当 " default. "虚拟 主机 的 端口 号 (默认 值 由 您 的 Listen HE) SE 
户 端 发 送 请 求 的 目的 端口 号 相符 时 ， 这 个 请 求 才 会 被 捕获 。 也 可 以 使 用 通配符 ( 例 
如 :"”_default_:* ") 来 捕获 任何 端口 号 的 请 求 。 这 也 同样 适用 于 " NamevirtualHost * "的 
虚拟 主机 。 

e 仅 当 客户 端 连 接 的 目的 IP 地 址 和 端口 号 没有 指定 而 且 不 与 任何 一 个 虚拟 主机 ( 包 
4" _default_ "虚拟 主机 ) 匹 配 的 时 候 ， 才 会 用 主 服务 器 来 伺服 请 求 。 换 名 话说 ， 主 服务 
器 仅 捕 获 没 有 指定 IP 地 址 和 端口 的 请 求 (除非 存在 一 个 匹配 端口 的 "”_default_ "虚拟 主 
机 )。 

。 如 果 客 户 端 连接 到 一 个 用 于 基于 域名 的 虚拟 主机 使 用 的 地 址 (和 端口 )， 比 如 说 使 用 
了 NameVirtualHost HED, 那么 一 个 未 知 的 或 没有 " Host: " 头 的 请 求 就 不 会 
与 " dgefault. "虚拟 主机 或 是 主 服务 器 相 匹 配 。 

e 绝对 不 能 在 virtualHost 指 合 中 使 用 DNS 名 称 ， 否 则 您 的 服务 器 就 会 依赖 DNS 来 进行 启 
动 。 而 且 ， 如 果 您 无 法 控制 列表 中 所 有 的 域 ， 您 将 会 面临 安全 威胁 。 您 可 以 在 这 里 获得 
关于 这 个 问题 和 以 下 两 个 问题 的 更 多 详情 。 

e 应 当 为 每 个 虚拟 主机 设 定 serverName 。 人 否则 就 会 需要 为 每 个 虚拟 主机 进行 DNS 查询 。 


小 技巧 
作为 DNS 问 题 页 面 小 技巧 的 附加 ， 这 里 有 些 领 外 的 技巧 : 


e 将 所 有 主 服务 器 的 定义 放 在 所 有 virtualHost 定义 之 前 (为 了 增加 可 读 性 )， 否 则 会 使 得 类 
似 在 虚拟 主机 旁边 的 定义 影响 到 所 有 的 虚拟 主机 这 样 的 问题 不 容易 发 现 。 

e 将 您 配置 中 相应 的 NameVirtualHost 和 VirtualHost 定义 放 到 一 起 ， 以 获得 更 好 的 可 读 
性 。 

e 避免 前 一 个 serverPaths 是 后 一 个 serverPaths 的 前 级 。 如 果 您 无 法 避免 这 样 的 情况 ， 您 
最 好 确保 在 您 的 配置 文件 中 "长 在 前 ， 短 在 后 "( 也 就 是 说 : "ServerPath/abc/def" 应 当 出 现 
在 "ServerPath/abc" 之 前 )。 


SC E TERIS FF BIS TU 


当 使 用 了 大 量 虚 拟 主机 ， 而 且 每 个 主机 又 使 用 了 不 同 的 日 志文 件 时 ，Apache 可 能 会 遭遇 文件 
描述 符 ( 有 时 也 称 为 <cite class="calibre27"> 文 件 句柄 </cite>) 耗 尽 的 困境 。Apache 使 用 的 文件 
描述 符 总 数 如 下 : 每 个 不 同 的 错误 日 志文 件 一 个 、 每 个 其 他 日 志文 件 指令 一 个 、 再 加 10 一 20 
个 作为 内 部 使 用 。Unix 操 作 系 统 限制 了 每 个 进程 可 以 使 用 的 文件 描述 符 数量 。 典 型 上 限 是 64 
个 ， 但 可 以 进行 扩充 ， 直 至 到 过 一 个 很 大 的 硬件 限制 为 止 (hard-limit)。 


尽管 Apache 会 试 着 增 大 限制 ， 但 如 果 发 生 以 下 情况 ， 则 这 个 机 制 无 法 起 作用 : 


您 的 操作 系统 没有 提供 setrlimit() 系统 调用 。 

setrlimit(RLIMIT NOFILE) 调用 无 法 在 您 的 系统 上 正常 工作 (比如 Solaris 2.3) 

文件 描述 符 的 需求 量 已 经 超出 了 硬件 的 限制 。 

您 的 操作 系统 对 文件 描述 符 作 出 了 其 他 限制 。 比 如 说 限制 了 stdio 流 只 能 使 用 256 以 下 的 文 
件 描述 符 。(Solaris 2) 


FwNnN > 


如 果 遇 到 了 这 样 的 问题 ， 您 可 以 这 样 解决 : 
。 减少 日 志文 件 的 数量 。 不 在 <virtualHost> 配置 段 中 指定 日 志文 件 ， 而 是 只 在 主 日 志文 件 
中 进行 记录 。( 参 见 下 述 分 解 日 志文 件 获 得 详情 ) 
。 如 果 您 的 系统 因 上 述 第 1 条 或 第 2 条 原因 不 能 正常 工作 ， 可 以 在 启动 Apache 之 前 ， 用 类 似 
下 述 的 脚本 增 大 文件 描述 符 的 限制 : 


#!/bin/sh 
ulimit -S -n 100 


exec httpd 


分 解 日 志文 件 
如 果 您 想 把 多 个 虚拟 主机 的 日 志 记 录 到 同一 个 日 志文 件 中 ， 你 可 能 会 想 事后 把 它们 分 开 ， 以 
对 不 同 的 虚拟 主机 数据 进行 统计 分 析 。 您 可 用 下 述 方法 达到 这 个 目的 。 


首先 ， 您 需要 将 虚拟 主机 的 信息 放 入 日 志 中 。 您 可 以 用 LogFormat THAN MI" wv "变量 达到 这 个 
目的 。 在 您 的 日 志 格 式 串 的 开关 加 入 它们 : 


LogFormat "%v 96h %] 96u %t \"%r\" %>s %b" vhost 


CustomLog logs/multiple vhost log vhost 


这 将 用 日 志 的 普通 格式 来 创建 一 个 日 志文 件 。 但 会 在 每 条 记录 前 加 上 正式 的 虚拟 主机 名 (就 是 
在 serverName 指令 中 定义 的 那个 )。 (参见 自 定义 日 志 格式 以 获取 更 多 内 容 ) 


当 您 想 将 日 志文 件 分 开 ( 每 个 虚拟 主机 一 个 日 志文 件 ) 的 时 候 ， 您 可 以 使 用 split-1ogfile 程序 
来 完成 这 个 工作 。 您 将 在 Apache 发 行 版 的 support 目录 中 找到 这 个 程序 。 


用 如 下 命令 来 运行 这 个 程序 : 


split-logfile < /logs/multiple vhost log 


当 这 个 程序 在 给 予 一 个 虚拟 主机 日 志文 件 作 为 参数 的 情况 下 ， 会 为 日 志文 件 中 的 每 个 虚拟 主 
机 建立 一 个 文件 。 每 个 文件 都 以 " 主机 名 .1og "这 样 的 形式 命名 。 


关于 DNS 和 Apache 


本 文档 的 涵义 用 一 句 话 总 结 就 是 : 不 要 让 Apache 在 分 析 配 置 文件 的 时 候 使 用 到 DNS 解析 。 如 
果 Apache 在 分 析 配 置 文件 时 用 到 了 DNS 解析 ， 您 的 服务 器 就 会 发 生 可 靠 性 的 问题 (也 可 能 根本 
无 法 启动 )， 或 者 遭 致 拒绝 ( 偷 鄙 ) 服 务 攻击 (包括 用 户 可 以 从 其 他 用 户 那里 伦 守 点 击 )。 


一 个 简单 示例 


<VirtualHost www.abc.dom» 
ServerAdmin webgirlQabc.dom 
DocumentRoot /www/abc 


«/NirtualHost» 


为 了 让 Apache 功 能 正常 ， 一 个 虚拟 主机 绝对 需要 以 下 两 部 分 的 信息 : serverName 和 和 与 该 服务 
器 绑 定 的 至 少 一 个 IP 地 址 。 上 述 示例 没有 包括 IP 地 址 ， 于 是 Apache 必 须要 使 用 DNS 解析 来 查 
询 www.abc.dom 的 地 址 。 如 果 在 某 些 不 可 预料 的 情况 下 ， 当 您 的 服务 器 解析 配置 文件 时 没有 得 
到 DNS 的 支持 ， 那 么 这 个 虚拟 主机 将 不 会 被 配置 。 它 将 不 会 对 任何 请 求 作 出 反应 。( 在 
Apache1.2 之 前 的 版 本 ， 服 务 器 甚至 无 法 启动 )。 


假设 www.abc.dom 的 IP 地 址 是 10.0.0.1， 那 么 考虑 以 下 这 个 配置 片断 : 


«VirtualHost 10.0.0.1> 
ServerAdmin webgirlQabc.dom 
DocumentRoot /www/abc 


«/NirtualHost» 


现在 Apache 需 要 DNS 对 这 个 虚拟 主机 进行 反 向 域名 解析 来 确定 其 serverName 。 如 果 反 向 解析 
失败 ， 那 么 将 导致 这 个 虚拟 主机 功能 丧失 (在 Apache 的 1.2 版 本 之 前 ， 服 务 器 将 不 能 启动 )。 如 
果 虚 拟 主 机 是 基于 域名 的 ， 它 将 完全 不 能 使 用 ， 但 如 果 它 是 基于 IP 的 ， 那 么 它 将 很 有 可 能 工 
作 。 然 而 ， 如 果 Apache 不 得 不 为 一 个 已 经 包含 了 服务 器 域名 的 服务 器 产生 一 个 完整 的 URL， 
那么 它 将 可 能 产生 一 个 无 效 的 URL。 


以 下 是 一 个 可 以 避免 上 述 两 个 问题 的 配置 片断 : 


<VirtualHost 10.0.0.1> 
ServerName www.abc.dom 
ServerAdmin webgirl@abc.dom 
DocumentRoot /www/abc 


</VirtualHost> 


拒绝 服务 


拒绝 服务 主要 由 (至 少 ) 两 种 形式 导致 。 如 果 您 在 运行 Apache1.2 以 前 的 版 本 ， 在 上 述 两 种 情况 
下 ， 如 果 您 的 任何 一 个 虚拟 主机 的 DNS 解析 失败 ， 您 都 会 无 法 和 启动 服务 。 在 一 些 情况 下 ， 
DNS 解析 甚至 不 在 您 的 控制 范围 之 内 。 比 如 说 ， 如 果 abc.dom 是 您 的 一 个 客户 ， 而 且 他 们 自 
己 控制 着 DNS。 那 么 仅仅 是 因为 他 们 删除 了 www.abc.dom 这 个 记录 ， 都 会 导致 您 1.2 版 本 以 前 
的 Apache 无 法 启动 。 


另外 一 种 形式 就 更 隐蔽 了 。 比 如 说 下 面 这 个 配置 片断 : 


<VirtualHost www.abc.dom> 
ServerAdmin webgirl@abc.dom 
DocumentRoot /www/abc 

</VirtualHost> 

<VirtualHost www.def .dom> 
ServerAdmin webguyQdef.dom 
DocumentRoot /www/def 


«/NirtualHost» 


假设 您 已 经 为 www.abc.dom i&3E f 10.0.0.1. 29 www.def.dom 设 定 了 10.0.0.2。 更 进一步 ， 假 
jt def.dom 自己 控制 DNS。 在 这 种 配置 下 ， def.dom 可 以 将 所 有 指向 abc.dom 的 流量 据 为 

己 。 为 了 达到 这 个 目的 ， 他 们 只 需 把 ww.def.dom 的 地 址 解析 设置 成 10.0.0.1 就 可 以 了 。 因 为 
他 们 控制 着 自己 的 DNS 服务 ， 所 以 您 无 法 阻止 他 们 把 www.def.dom 这 个 记录 指向 任何 一 个 IP 地 
址 。 


然后 ， 所 有 向 10.0.0.1 发 出 的 请 求 (包括 用 户 所 有 类 似 nttp://ww.abc.dom/whatever 的 URL) 都 
将 会 被 def.dom 这 个 虚拟 主机 所 接收 。 为 了 更 好 的 理解 这 一 切 是 怎样 发 生 的 ， 您 需要 一 个 关 
于 Apache 是 怎样 将 进入 的 请 求 分 配给 它 的 虚拟 主机 的 深入 说 明 。 您 可 以 在 这 里 找到 一 个 完整 
的 文档 。 


" 主 服务 器" 地 址 


在 Apache1.1 中 ， 基 于 域名 的 虚拟 主机 支持 需要 Apache 知 道 运 行 httpd 的 主机 的 IP 地 址 。 可 
以 用 全 局 变量 serverName (如 果 存 在 ) 或 者 调用 C 阔 数 gethostname (与 在 命令 行 模式 下 键 

入 "hostname" 得 到 的 返回 值 一 样 )。 接 着 它 就 会 利用 DNS 来 查找 这 个 地 址 。 目 前 还 没有 办 法 避 
免 这 样 的 查找 。 


如 果 您 担心 这 样 的 查找 会 因为 您 的 DNS 服务 器 没有 启动 而 遭 到 失败 的 结果 ， 您 就 可 以 

在 /etc/hosts 中 插入 一 条 记录 来 确定 主机 名 (此 文件 中 应 该 已 经 存在 这 条 记录 了， 否则 您 的 机 
器 可 能 无 法 正常 启动 )。 然 后 ， 要 确认 您 的 机 器 已 经 配置 为 当 DNS 解 析 失 败 的 情况 下 会 使 

用 /etc/hosts ， 根 据 所 使 用 的 操作 系统 不 同 ， 您 可 能 需 

在 /etc/resolv.conf 或 /etc/nsswitch.conf 两 个 文件 中 选择 一 个 进行 编辑 。 


如 果 您 的 服务 器 不 必 因 为 其 他 理由 而 使 用 DNS， 您 也 许 不 必 在 把 HosTRESORDER 环境 变量 设 
为 "local" 的 情况 下 运行 Apache。 这 取决 于 您 所 使 用 的 操作 系统 和 解析 库 。 如 果 您 没有 使 

FA mod env 来 控制 环境 变量 ， 它 还 将 影响 到 CGI。 强 烈 建议 您 查看 操作 系统 附带 的 man 帮 助 或 
FAQ, 


避免 这 些 问题 的 小 技巧 


e 在 virtualHost 中 使 用 IP 地 址 

e 在 Listen 中 使 用 IP 地 址 

e 确保 所 有 的 虚拟 主机 拥有 显 式 的 serverName 定义 

. 创建 一 个 不 包含 任何 页 面 的 «VirtualHost default :*» 服务 器 


附录 : 进一步 的 提示 


涉及 到 DNS 的 情况 都 很 让 人 很 不 舒服 。 在 Apache1.2 中 ， 我 们 努力 想 让 服务 器 在 DNS 解 析 失 
败 的 情况 下 至 少 保持 能 够 启动 ， 但 我 们 没 能 做 到 。 在 当今 重 编 号 成 了 必须 的 Internet 上 面 ， 在 
配置 文件 中 显 式 的 写 明 IP 地 址 已 经 成 为 不 合 时 宜 的 行为 了 。 


上 述 盗 窃 攻 击 的 解决 办 法 是 在 一 个 正 向 DNS 查询 后 再 进行 一 个 逆向 DNS 解析 并 将 两 个 结果 进 
行 比较 。 如 果 不 同 ， 就 茶 用 相应 的 虚拟 主机 。 这 个 方法 需要 一 个 正确 配置 了 的 逆向 域名 解析 
服务 器 (因为 FTP 服 务 器 和 TCP 封 装 进 行 的 "双重 逆向 "DNS 义理 的 普通 应 用 ， 这 已 为 大 部 分 管 
理 员 所 熟知 了 )。 


在 某 些 情况 下 ， 如 果 没 有 使 用 IP 地 址 而 DNS 解析 又 失败 了 ， 那 么 正常 启动 一 个 基于 域名 的 虚 
拟 主 机 看 来 是 不 可 能 的 。 一 些 诸如 禁用 部 分 配置 文件 这 样 的 权宜 之 计 会 带 来 比 根本 不 能 启动 
更 遭 的 不 可 预测 的 结果 。 

随 着 HTTP/1.1 的 部 署 以 及 浏览 器 和 代理 服务 器 开始 支持 Host 头 ， 我 们 完全 避免 使 用 基于 IP 的 


虚拟 主机 也 逐渐 成 为 可 能 。 这 种 状况 下 ，web 服 务 器 也 不 必 在 配置 时 进行 DNS 的 查询 。 但 在 
1997 年 3 月 ， 这 些 特性 的 采用 还 没有 广泛 到 可 以 在 重要 的 web 服 务 器 应 用 的 地 步 。 


ny Zx 、 
经 贡 问 到 的 问题 

这 个 FAQ 的 最 新 版 本 总 是 可 以 从 Apache 主 站 点 得 到 ， 位 于 
<http://httpd.apache.org/docs/2.2/faq/> 


如 果 你 的 问题 在 这 里 没有 找到 答案 ， 你 也 可 以 看 看 Apache 1.3 FAQ ， 看 你 的 问题 是 否 在 那里 
有 了 答案 。 


主题 


46 E 
Ae 


KF Apache HTTP Server 的 背景 知识 。 


支持 


e 什么 是 Apache ? 

e 什么 是 Apache HTTP Server ? 

e Apache 是 如 果 进 行 充分 测试 的 ? 

e 我 可 以 在 我 的 产品 或 网 站 中 使 用 Apache 的 logo 吗 ? 


什么 是 Apache ? 


Apache 软 件 基金 会 (ASF) 是 一 个 非 营利 性 组 织 ， 它 为 Apache 社 区 的 开源 软件 项 目 提供 支持 。 
欲 知 详情 ， 请 查看 Apache Software Foundation FAQ 页 面 。 


Apache HTTP Server( 也 被 称 为 Apache httpd) 是 Apache 软 件 基金 会 的 一 个 创建 健壮 的 、 工 业 
级 的 、 功 能 强大 的 、 开 放 源 代码 的 HTTP(Web) 服 务 器 的 项 目 。 欲 知 详情 ， 请 查看 About 
Apache 页 面 。 


什么 是 Apache HTTP Server ? 


。 一 个 强大 的 、 灵 活 的 、 兼 容 HTTP/1.1 规 范 的 web 服 务 器 


e 实现 了 最 新 的 协议 ， 包 括 HTTP/1.1(RFC2616) 
具有 高 度 的 可 配置 性 和 使 用 第 三 方 模块 的 可 扩展 性 

e 可 以 通过 使 用 Apache 模 块 API 编 写 自 己 的 模块 进行 定制 

e 在 非 限制 性 许可 证 下 提供 所 有 的 源 代码 

e 可 以 运行 在 Windows 2003/XP/2000/NT/9x 、Netware 5.x 及 以 上 版 本 、OS/2 、 大 多 数 
Unix 版 本 以 及 其 它 操 作 系统 上 

。 被 非常 活跃 的 进行 开发 

e 鼓励 用 户 反馈 新 想法 、bug 报 告 、 补 丁 程序 


Apache 是 如 果 进 行 充 分 测试 的 ? 


Apache 正 在 数 以 百 万 的 网 络 服务 器 上 运行 。 它 同时 经 过 开发 者 和 用 户 的 充分 测试 。Apache 
HTTP Server 项 目 按照 非常 严格 的 标准 发 布 服 务 器 的 新 版 本 ， 并 且 有 70% 的 WWW 服 务 器 在 
24 小 时 不 间断 地 运行 着 我 们 的 服务 器 。 一 旦 有 bug 被 发 现 ， 我 们 将 以 最 快 的 速度 发 布 补丁 程序 
和 新 版 本 。 


我 可 以 在 我 的 产品 或 网 站 中 使 用 Apache 的 logo 吗 ? 


不 可 以 人 使用、 复制、 修改 任何 来 自 Apache 软 件 基金 会 的 原始 图 形 。 除 非 满足 以 下 条 件 : 


。 你 可 以 在 一 个 使 用 Apache 作 为 web 服 务 器 的 网 站 上 使 用 Powered by Apache' tr. 

e 当 且 仅 当 这 种 使 用 可 以 促进 Apache 的 推广 时 ， 你 才 可 以 在 产品 描述 中 使 用 上 述 'Powered 
by Apache' 图 标 或 Apache 软 件 基金 会 logo 。 严 格 禁 止 将 Apache 的 名 称 或 图 形 用 于 产品 的 
签名 或 者 服务 。 


支持 


e. "我 为 什么 不 能 … ? 为 什么 ... 不 工作 ? "在 有 问题 的 情况 下 该 怎么 办 ? 
e 我 要 找 谁 寻求 帮助 ? 


"我 为 什么 不 能 ...? 为 什么 ... 不 工作 ? "在 有 问题 的 情况 下 该 怎么 
办 ? 

如 果 你 使 用 Apache 服 务 器 软件 遇 到 了 问题 ， 采 取 以 下 几 步 : 

检查 错误 日 志 ! 


Apache 服 务 器 在 遇 到 问题 时 会 尽力 做 到 对 你 有 所 帮助 。 在 许多 情况 下 ， 它 会 通过 在 错误 日 志 
中 写 和 一 条 或 多 条 消息 来 提供 一 些 细节 。 有 时 这 已 经 足够 让 你 自己 诊断 和 解决 问题 了 (比如 文 
件 权 限 或 类 似 的 问 题 )。 错误 日 志 的 默认 位 置 在 /usr/local/apache2/1logs/error log , 但 是 最 
后 还 是 看 看 配置 文件 中 的 ErrorLog 指 邻 以 确认 错误 日 志 在 你 服务 器 上 的 确切 位 置 。 


再 一 次 检查 错误 日 志 ! 

几乎 所 有 问题 都 可 以 通过 阅读 错误 日 志 来 解决 。 

察看 FAQ! 

最 新 版 本 的 Apache 常 见 问题 列表 总 是 可 以 从 Apache 主 站 点 得 到 。 
察看 Apache bug 数 据 库 


大 多 数 报告 给 Apache 项 目 组 的 问题 都 记录 在 bug 数 据 库 中 。 在 你 添加 一 个 新 bug 之 前 ， 请 务必 

检查 已 有 的 报告 (打开 的 和 关闭 的 )。 如 果 你 发 现 你 的 问题 已 经 被 报告 了 ， 请 不 要 添加 一 个 "我 
是 "那样 的 报告 。 如 果 原 始 报告 还 没有 关闭 ， 我 们 建议 你 经 常 周期 性 地 来 看 看 它 。 你 也 可 以 

考虑 与 最 初 的 提交 者 接触 ， 因 为 有 可 能 会 在 邮件 交流 中 发 现 没有 记录 在 数据 库 中 的 问题 。 


在 某 个 用 户 论坛 中 提问 


Apache 拥 有 一 个 活路 的、 愿意 共享 知识 的 用 户 社区 。 参 与 这 个 社区 通常 是 获得 解答 的 最 快 最 
好 的 办 法 。 


用 户 邮 件 列表 
Freenode IRC 上 的 #apache 频 道 也 是 关于 用 户 支持 的 。 
提交 问题 报告 到 bug 数 据 库 


如 果 做 了 以 上 几 个 合适 的 步骤 而 没有 得 到 解答 ， 那 么 请 务必 让 httpd 的 开发 者 了 解 这 个 问题 ， 
到 这 里 提交 bug 报 告 。 


如 果 你 的 问题 涉及 到 服务 器 骨 溃 并 产生 了 内 核 dump， 请 在 报告 中 包含 一 个 backtrace( 如 果 可 
能 )。 

我 要 找 谁 寻求 帮助 ? 

因为 有 数 百 万 用 户 和 区 区 不 到 60 名 志愿 开发 者 ， 我 们 无 法 为 Apache 提 供 个 体 支持 。 对 于 免费 
的 支持 ， 我 们 建议 用 户 参 与 一 个 用 户 论坛 。 

Apache 的 专业 商业 支持 可 以 从 许多 公司 得 到 。 


错误 信息 


e Invalid argument: core output filter: writing data to the network 
e AcceptEx failed 

e Premature end of script headers 

e Permission denied 


Invalid argument: core output filter: writing data to the 
network 


Apache 在 可 能 的 平台 上 使 用 系统 调用 sendfile 来 加 速 响应 的 发 送 。 不 幸 的 是 ， 在 某 些 系统 
上 ，Apache 会 在 编译 时 检测 sendfile 的 存在 ， 即 使 它 不 能 正常 工作 。 这 经 常 发 生 在 使 用 网 络 
或 其 他 非 标准 文件 系统 时 。 


这 个 问题 的 表现 症状 包括 上 述 信 息 出 现在 错误 日 志 里 及 对 于 非 需 长 度 文件 请 求 发 送 需 长 度 的 
响应 。 一 般 这 个 | 问题 只 发 生 在 静态 文件 上 ， 因为 动态 文件 通常 用 不 到 sendfile o 


要 修正 这 个 问题 ， 可 用 Enablesendfile 指令 关闭 服务 器 所 有 部 分 对 sendfile 的 使 用 即 可 。 同 
时 参看 EnablewMAP 指令 ， 对 相似 的 问题 有 帮助 。 


AcceptEx Failed 


如 果 你 在 win32 系 统 上 得 到 一 个 与 AcceptEx 有 系统 调用 相关 的 错误 信息 ， 参 


JL win32DisableAcceptEx 指 兮 。 


Premature end of script headers 


大 多 数 导 致 这 个 错误 的 CGI 脚本 问题 将 会 向 浏览 器 发 送 一 个 " Internal server Error "错误 信 
息 。 要 解决 这 种 问题 参见 . : CGI 指南 。 


Permission denied 


error log 中 的 " permission denied "错误 伴随 一 个 发 送 到 客户 端的 " Forbidden "信息 通常 表明 
违反 了 文件 系统 的 权限 ， 而 不 是 Apache HTTP 的 配置 文件 出 了 错误 。 检 查 并 确认 用 于 运行 子 
进程 的 user 和 Group 有 访问 导致 问题 的 文件 的 足够 权限 。 同 时 检查 一 下 导致 问题 的 文件 所 在 
的 目录 及 其 所 有 父 目 录 是 否 具有 执 和 了 (搜索 ) 权 限 (也 就 是 chmod +x )e 


最 近 发 行 的 Fedora Core 和 其 它 Linux 发 行 版 使 用 了 SELinux 进 行 额外 的 访问 控制 ， 违 反 这 些 
限制 也 会 导致 " permission denied "消息 。 参 见 Fedora SELinux FAQ 和 Apache 


s+ 4B 


Policy Document 以 获得 更 多 信息 。 


Apache 的 SSL/TLS 加 密 


Apache HTTP 服 务 器 的 mod ssi 模块 提供 了 对 使 用 安全 套 接 层 (Secure Sockets Layer) 和 传输 
层 安全 (Transport Layer Security) 协 议 的 OpenSSL 库 的 接口 。 此 模块 和 本 文 都 是 基于 Ralf S. 
Engelschall 的 mod ssi 项 目 。 


文档 


EIS 
。 如何.. 
。 常见 问题 解答 


。 词汇 表 


mod ssl 


此 模块 提供 的 有 关 指 信和 环境 变量 的 文档 ， 参 见 mod_ss| 文 档 。 


SSL/TLS 高 强度 加 密 : 绪论 


标准 的 好 处 就 是 你 有 充足 的 选择 。 如 果 确 实 不 喜欢 现存 的 标准 ， 你 只 需 等 待 来 年 发 布 一 
个 你 喜欢 的 新 标准 。 




















-- «cite class="calibre63">A. Tanenbaum</cite>, "Introduction to Computer Networks" 


作为 绪论 ， 本 文 针 对 的 是 熟悉 Web、HTTP、Apache 的 读者 而 不 是 安全 方面 的 专家 ， 它 不 是 
SSL 协 议 的 权威 性 指南 ， 不 讨论 在 一 个 组 织 中 管理 证 书 的 特殊 技术 ， 也 没有 重要 的 法 定 专利 声 
明 及 摘录 和 引用 限制 。 但 是 ， 本 文 会 通过 综合 讲述 各 种 概念 、 定 义 和 例 子 ， 给 mod ssi 的 使 
用 者 提供 背景 资料 ， 作 为 更 深入 探索 的 起 点 。 


这 里 的 内 容 主 要 是 来 源 于 Introducing SSL and Certificates using SSLeay 并 经 过 作者 Frederick 
J. Hirsch 许 可 。 此 文 由 Open Group Research Institute 于 1997 年 夏 ， 发 表 在 Web Security: A 
Matter of Trust, World Wide Web Journal, Volume 2, Issue 3, Summer 1997， 肯 定 意见 请 反 
tA Frederick Hirsch( 原 作者 )， 反 对 意见 请 反馈 给 Ralf S. Engelschall( mod ssi 的 作者 )。 


密码 技术 


要 理解 SSL 就 必须 理解 密码 和 系统、 消息 摘要 函数 ( 单 向 或 散 列 函数 ) 和 数字 签名 ， 这 些 技术 是 许 
多 文献 所 讨论 的 主题 (比如 [AC96)， 提 供 了 保密 性 、 完 整 性 和 认证 的 基础 。 


密码 系统 


假设 Alice 想 给 她 的 银行 发 一 个 消息 以 划 转 资金 ， 并 希望 这 个 消息 是 保密 的 ， 因 为 其 中 含有 她 
的 帐号 和 划 转 金额 等 信息 。 一 种 方案 是 使 用 密码 系统 ， 将 要 传输 的 信息 转变 为 加 密 形式 ， 从 
而 只 能 为 希望 他 读 懂 的 人 读 懂 。 一 旦 加 密 为 这 种 形式 ， 这 条 消息 也 许 只 能 用 一 个 密 钥 来 破 
译 ， 如 果 没 有 ， 那 么 这 条 信息 之 无 用 处 ， 因 为 好 的 密码 系统 可 以 使 破译 难度 高 到 入 侵 者 认为 
原文 不 值得 他 们 花费 那么 大 的 努力 。 


密码 系统 有 两 大 类 : 常规 的 和 公共 密 钥 。 
常规 密码 


又 称 为 对 称 密码 ， 需 要 发 送 者 和 接收 者 共同 持 有 一 个 密 钥 : 一 小 段 用 来 加 密 和 解密 的 秘密 信 
息 。 如 果 这 个 密 钥 是 保密 的 ， 那 么 这 条 消息 除了 发 送 者 和 接受 者 以 外 可 能 没有 人 可 以 阅读 。 
如 果 Alice 和 银行 共同 持 有 一 个 密 钥 ， 则 可 以 互相 发 送 保密 信息 。 但 是 ， 私 有 通讯 密 钥 的 选择 
行为 本 身 ， 却 可 能 不 是 无 懈 可 击 的 。 


公共 密 钥 密码 


又 称 为 不 对 称 密码 ， 定 义 了 一 种 使 用 两 个 密 钥 的 算法 以 解决 密 钥 交换 问题 ， 一 个 密 钥 用 于 加 
密 ， 另 一 个 用 于 解密 ， 从 而 使 简单 公布 一 个 密 钥 (公共 的 密 钥 ， 简 称 : 公 钥 ) 而 保留 其 他 的 ( 私 
有 的 密 钥 ， 简 称 : 私 钥 ) 以 接收 保密 消息 成 为 可 能 。 


任何 人 都 可 以 用 公 钥 加 密 一 条 消息 ， 而 仅 人 允许 私 钥 的 持 有 者 阅读 。 如 此 ，Alice 就 可 能 使 用 公 
钥 加 密 其 保密 消息 ， 发 送 给 私 钥 的 持 有 者 (银行 )， 只 有 银行 能 够 对 它 解密 。 


消息 摘要 


虽然 Alice 可 能 加 密 其 消息 使 它 称 为 私有 的 ， 但 仍 应 注意 到 某 些 人 可 能 会 臭 改 或 蔡 换 其 原始 消 
息 ， 以 划 转 资金 到 他 们 自己 的 帐户 。 一 种 保证 Alice 消 息 完整 性 的 方法 是 同时 发 一 个 其 消息 的 
简单 摘要 给 银行 ， 供 银行 与 消息 本 身 比 对 ， 如 果 相 符 则 消息 正确 。 


这 样 的 方法 被 称 为 <dfn class="calibre27"> 消 息 摘 要 </dfn>、 单 向 画 数 或 散 列 函数 。 消 息 摘要 
用 于 对 较 大 而 且 交 长 的 消息 建立 较 短 而 且 等 长 的 一 种 表述 ， 其 设计 使 将 摘要 还 原 成 消息 极其 
困难 ， 而 且 对 两 个 不 同 的 消息 几乎 不 可 能 生成 相同 的 摘要 ， 从 而 排除 了 替换 一 个 消息 为 另 一 
个 而 维持 相同 摘要 的 可 能 性 。 


Alice 面 临 的 另 一 个 挑战 是 要 保证 摘要 发 送 到 银行 的 安全 ， 如 此 ， 才 能 确保 消息 的 完整 性 。 
一 种 解决 方法 是 在 摘要 中 包含 数字 签名 。 


数字 签 


当 Alice 发 送 消息 到 银行 ， 银 行 需要 确认 此 消息 的 确 是 她 发 送 的 ， 而 不 是 入 侵 者 盗用 其 帐号 。 
为 此 ， 可 以 在 消息 中 包含 一 个 由 Alice 建 立 的 数字 签名 。 


数字 签名 是 以 加 密 的 消息 摘要 和 其 他 信息 (比如 一 个 流水 号 ) 以 及 发 送 者 的 私有 密 钥 建立 的 。 虽 
然 任 何人 都 可 能 用 公共 密 钥 解密 签名 ， 但 是 只 有 签发 者 知道 其 私有 密 钥 ， 也 就 是 ， 只 有 密 钥 
的 持 有 者 才能 签发 。 包 含 在 签名 中 的 摘要 只 对 该 消息 有 效 ， 以 确保 没有 人 可 以 改变 摘要 而 保 
持 签 名 不 变 。 


为 了 避免 签名 日 后 被 入 侵 者 破译 和 再 利用 ， 签 名 包含 有 一 个 流水 号 。 如 此 ， 万 一 (只 是 假 
设 )Alice 并 没有 发 送 此 消息 ， 虽 然 她 可 能 真 的 签发 过 ， 银 行 可 以 免 遭 其 欺诈 性 指控 。 


证 书 


虽然 Alice 可 能 已 经 发 送 了 一 个 保密 的 消息 给 银行 ， 签 了 名 ， 并 可 以 保证 消息 的 完整 性 ， 但 是 
她 仍然 需要 确认 她 的 确 是 在 和 那个 银行 通讯 ， 也 就 是 说 ， 她 需要 确认 她 用 的 公共 密 钥 的 确 对 
应 于 银行 用 的 私有 密 钥 。 同 样 ， 银 行 也 需要 验证 此 消息 的 签名 的 确 对 应 于 Alice 的 签名 。 


如 果 各 部 分 有 验证 其 余部 分 一 致 性 的 证 书 ， 以 确认 公共 密 钥 ， 并 是 由 一 个 可 以 信任 的 代理 所 
签发 的 ， 那 么 他 们 双方 都 可 以 肯定 其 通讯 对 象 的 身份 。 这 个 可 以 信任 的 代理 称 为 证 书 机 构 
(Certificate Authority)， 甚 证书 用 于 认证 。 


证 书 的 内 容 


与 一 个 公共 密 钥 关联 的 证 书 有 一 个 主题 ， 即 一 个 个 体 或 者 服务 器 或 者 其 他 实体 的 真实 身份 ， 
如 表 1 所 示 。 主 题 中 的 信息 包含 身份 信息 (识别 名 [Distinguished Name]) 和 公共 密 钥 ， 还 包括 发 
布 此 证 书 的 证 书 机 构 的 名 称 和 签名 以 及 证 书 的 有 效 期 限 ， 还 可 能 会 有 证 书 机 构 监 管 者 信息 和 
流水 号 等 附加 信息 。 


K 1: Certificate Information 


Subject Distinguished Name, Public Key 
Issuer Distinguished Name, Signature 
Period of Validity Not Before Date, Not After Date 
Administrative Information Version, Serial Number 
Extended Information Basic Constraints, Netscape Flags, etc. 


识别 名 用 于 在 一 个 特定 的 上 下 文中 指明 身份 ， 比 如 ， 一 个 个 体 可 能 有 一 个 个 人 证 书 ， 同 时 还 
有 一 个 其 历 佣 者 的 证 书 。X.509 标 准 [X509] 中 定义 了 识别 名 的 各 个 项 及 其 名 称 和 缩写 ( 见 表 2)。 


表 2: Distinguished Name Information 


DN Field Abbrev. Description Example 
Common CN Name being certified Noc 
Name Average 
Organization Name is associated with this O=Snake Oil, 
or Company organization Ltd. 


Name is associated with this 


OU organization unit, such as a Researen 


Organizational 


Unit department Institute 
City/Locality L Name is located in this City L=Snake City 
State/Province ST Name is located in this State/Province ST=Desert 
Country C Pos is located in this Country (ISO C-XZ 


证 书 机 构 可 能 会 定义 规定 哪些 识别 名 是 可 选 的， 而 哪些 是 必须 的 一 个 规范 ， 还 可 能 对 项 的 内 
容 和 证 书 使 用 人 数 有 所 要 求 。 比 如 ， 一 个 Netscape 浏 览 器 要 求证 书 中 的 Common Name 项 必 
须 是 服务 器 名 称 ， 此 名 称 可 以 是 服务 器 域名 的 通 配 模式 ， 形 如 : *.snakeoil.com o 


证 书 的 二 进 制 形式 用 ASN.1 记 号 法 [X208] [PKCS] 表 示 ， 记 号 法 定义 了 如 何 表示 内 容 ， 编 码 规 
则 定义 了 如 何 将 信息 转变 成 二 进 制 形式 。 证 书 的 二 进 制 编码 使 用 了 基于 更 通 TIENE 
则 (Basic Encoding Rules[BER]) 的 识别 名 编码 规则 (Distinguished Encoding Rules[DER]). # 

了 在 不 能 处 理 二 进 制 的 情况 下 进行 传输 ， 二 进 制 形式 用 Base64 编 码 方 式 [MIME] 转 换 成 ASCII 
形式 ， 其 编码 结果 是 以 开始 和 结束 符号 分 隔 的 若干 的 行 ， 称 为 PEM 形 式 (其 名 称 来 源 

于 "Privacy Enhanced Mail")， 如 下 所 示 : 


Example of a PEM-encoded certificate (snakeoil.crt) 


Saans BEGIN CERTIFICATE----- 
MIIC7jCCAlegAwIBAgIBATANBgkqhkiG9wOBAQQFADCBqTELMAKGA1UEBhMCWF kx 
FTATBgNVBAgTDFNuYWt LIERLC2VydDETMBEGA1UEBXMKU25ha2UgVG93b j EXMBUG 
A1UEChMOU25ha2UgT21SLCBMdGQxHjACBgNVBASTFUNLcnRpZm1jYXRLIEF1dGhv 
cm1O0eTEVMBMGA1UEAxMMU25ha2UgT21sIENBMRAWHAY JKoZIhvcNAQkBFg9 j YUBz 
bmFrzw9pbC5kb20wHhcNOTgxMDIXxMDg10DM2WhcNOTkxMDIXMDg10DM2Wj CBpzEL 
MAkGAA1UEBhMCWFKXFTATBgNVBAgTDFNuYWt 1 IERTC2VydDETMBEGA1UEBXMKU25h 
a2UgVG93bj EXMBUGA1UEChMOU25ha2UgT21sLCBMdGQXFzAVBgNVBAsTD1dlYnNl 
cnZlciBUZWFtMRkwFwYDVQQDExB3d3cuc25ha2VvaWwuZG9tMR8wHQY JKoZIhvcN 
AQkBFhB3d3dAc25ha2VvaWwuZG9tMIGfMAOGCSqGSIb3DQEBAQUAAAGNADCBiQKB 
gQDH9Ge/s2zcH*da*rPTX/DPRp3x6GjHZ4AGG6pCmvADIEtBtKBFAcZ64n-*Dy7Np8b 
VKR*yy5DGQiijsHi1D/j8HlGE*q4TZ80Fk7BNBFazHxFbYIAOKMiCxdKzdifiyfaa 
lWoANFlAzlSdbxeGVHoTOK-gT5w3UXxwZKv2DLbCTzLZyPwIDAQABOyYWJDAPBgQNV 
HRMECDAGAQH/AgEAMBEGCWCGSAGG-EIBAQQEAwIAQDANBgkqhkiG9wOBAQQFAAOB 
QQAZUTHAL4D090E6Lv2k56Gp380BDuILvwlLgivikKL8mQR+KFjghCrtpqaztZqcDt 
2q2QoyulCgSZHbEGmiOEsdkPfg6mpOpenssIFePYNI+/8u9HT4LUKMJX15hxBam7 
dUHzICxBVCilnHyYGjDuAMhe3961YAn8bCld1/LANMGBCQ-- 

gnoe END CERTIFICATE----- 


证 书 机 构 


证 书 机 构 在 授予 证 书 前 会 验证 证 书 的 申请 信息 ， 以 确认 密 钥 对 中 私有 密 钥 的 持 有 实体 。 比 
如 : 如 果 Alice 申 请 一 个 个 人 证 书 ， 则 证 书 机 构 首 先 会 确认 Alice 的 确 是 申请 证 书 的 那个 人 。 


证 书 链 
一 个 证 书 机 构 也 可 能 给 另 一 个 证 书 机 构 授 予 证 书 。 所 以 ，Alice 可 能 需要 检查 证 书 的 授予 者 ， 


及 其 父 授予 者 ， 直 到 找到 一 个 她 所 信任 的 。 她 可 以 只 信任 由 一 个 有 限 的 授予 者 链 所 授予 的 证 
书 ， 以 减 小 这 个 链 中 "劣质 "证 书 带 来 的 风险 。 


建立 顶级 CA 


如 前 所 述 ， 每 个 证 书 要 求 其 授予 者 指定 证 书 主题 中 实体 的 有 效 性 ， 直 到 最 高 一 级 的 证 书 机 
构 。 这 样 就 产生 一 个 问题 : 最 高 一 级 的 证 书 机 构 没有 授予 者 ， 那 么 谁 为 它 的 证 书 作 担保 呢 ? 
仅 在 这 种 情况 下 ， 此 证 书 是 " 自 签名 的 "， 即 证 书 的 授予 者 和 主题 中 的 一 样 ， 所 以 ， 必 须 对 自 签 
名 的 证 书 备 加 注意 。 顶 级 机 构 广 泛 发 布 的 公共 窗 钥 可 以 减 小 信任 这 个 密 钥 所 带 来 的 风险 -- 这 显 
然 比 其 他 某 个 人 发 布 密 铀 并 宣称 他 是 证 书 机 构 要 安全 一 些 。 浏 览 器 被 默认 地 配置 为 信任 著名 
的 证 书 机 构 。 


许多 公司 是 专业 证 书 机 构 ， 如 Thawte 和 VeriSign， 提 供 如 下 服务 : 


e 验证 证 书 的 申请 
e 义理 证 书 的 申请 
e 授予 和 管理 证 书 


自己 建立 一 个 证 书 机 构 也 是 可 能 的 ， 虽 然 在 Internet 环 境 中 有 风险 ， 但 在 验证 个 体 或 服务 器 较 
容易 的 Intranet 环 境 中 ， 会 很 有 用 。 


证 书 的 管理 


建立 一 个 证 书 机 构 需要 一 个 坚强 的 监管 、 技 术 和 管理 体系 。 证 书 机 构 不 仅仅 是 授予 证 书 ， 还 
必须 管理 证 书 的 有 效 期 和 更 新 ， 并 维护 一 个 已 授予 的 但 已 经 失效 的 证 书 列表 (作废 证 书 列 表 
[Certificate Revocation Lists， 或 CRL])。 比 如 ，Alice 作 为 公司 履 员 有 资格 申请 证 书 ， 又 如 ， 
Alice 离 开 公 司 后 需要 作废 此 证 书 等 。 由 于 凭证 书 可 以 到 处 通行 无 阻 ， 所 以 不 可 能 从 证 书本 身 
看 出 已 经 作 庆 ， 因 此 ， 验 证 证 书 的 有 效 性 就 必须 查 作 废 证 书 列表 (而 这 通常 不 是 自动 处 理 的 一 
部 分 )。 


说 明 


如 果 使 用 了 一 个 浏览 器 没有 默认 配置 的 证 书 机 构 ， 则 必须 加 载 这 个 证 书 机 构 的 证 书 进 入 浏览 
器 ， 使 浏览 器 可 以 验证 由 这 个 证 书 机 构 签发 的 服务 器 证 书 。 这 样 做 是 有 风险 的 ， 因 为 一 旦 加 
载 ， 浏 览 器 会 接受 由 这 个 证 书 机 构 签 发 的 所 有 证 书 。 


安全 套 接 字 层 (SSL) 


安全 套 接 字 层 协议 是 位 于 可 靠 的 面向 连接 的 网 络 层 协议 (如 TCP/IP) 和 应 用 程序 协议 层 ( 如 
HTTP) 之 间 的 一 种 协议 层 。SSL 通 过 互相 认证 、 使 用 数字 签名 确保 完整 性 、 使 用 加 密 确 保 私密 
性 ， 以 实现 客户 端 和 服务 器 之 间 的 安全 通讯 。 


这 个 协议 被 设计 为 支持 许多 用 于 密码 、 摘 要 和 签名 的 特定 算法 ， 人 允许 因 各 种 目的 对 特定 的 服 
务 器 选择 算法 ， 并 人 允许 采用 新 算法 以 得 其 利 。 其 选择 的 协商 操作 发 生 在 客户 和 服务 器 建立 协 
议 对 话 的 开始 阶段 。 


表 4: Versions of the SSL protocol 


Version Source Description Browser 
Support 

SSL Vendor Standard (from First SSL protocol for which aior 

v2.0 Netscape Corp.) [SSL2] implementations exists 1 

e MSIE 3.x 


e Lynx/2.8+OpenSSL | | SSL v3.0 | Expired Internet Draft (from Netscape Corp.) [SSL3] | 


Revisions to prevent specific security attacks, add non-RSA ciphers, and support for 
certificate chains | - NS Navigator 2.x/3.x/4.x 
e MS IE 3.x/4.x 
Lynx/2.8+OpenSSL || TLS v1.0 | Proposed Internet Standard (from IETF) [TLS1] | 
Revision of SSL 3.0 to update the MAC layer to HMAC, add block padding for block 
ciphers, message order standardization and more alert messages. | - 
Lynx/2.8+OpenSSL | 


如 表 4 所 示 ，SSL 协 议 有 多 种 版 本 。SSL3.0 的 一 个 优点 是 增加 了 对 加 载 证 书 链 的 支持 ， 以 允许 
服务 器 在 发 给 浏览 器 的 授予 者 证 书 上 附加 一 个 服务 器 证 书 。 链 的 加 载 也 允许 浏览 器 验证 服务 
器 证 书 ， 即 使 对 此 授予 者 的 证 书 机 构 证 书 并 没有 安装 ， 因 为 它 已 经 包含 在 这 个 证 书 链 中 了 。 
SSL3.0 目 前 正 由 Internet Engineering Task Force(IETF) 研 发 ， 是 传输 层 安全 [TLS] 协 议 标准 的 
基础 。 


会 话 的 建立 


SSL 会 话 在 客户 端 和 服务 器 的 握手 过 程 之 后 建立 ， 如 Figure 1 所 示 ， 其 过 程 可 能 因 服 务 器 是 否 
配置 为 支持 服务 器 证 书 和 是 否 要求 有 客户 证 书 有 所 不 同 。 虽然 存 在 密码 信息 管理 需要 额外 握 
手 操 作 的 情况 ， 本 文 只 说 明 其 中 有 共性 的 部 分 ， 参 见 所 有 可 能 情况 下 的 SSL 规 范 。 


说 明 


SSL 会 话 一 旦 建立 就 可 能 是 可 重用 的 ， 以 避免 在 初始 会 话 时 的 性 能 损失 和 许多 步骤 的 重复 。 为 
此 ， 服 务 器 为 其 后 的 连接 缓存 了 为 每 个 SSL 会 话 设 定 的 唯一 的 会 话 标 志 ， 以 减少 握手 操作 ( 直 
到 服务 器 缓存 中 的 会 话 标志 过 期 为 止 )。 


ClientHello Establish protocol version, session id, 
cipher suite, compression method 
Exchange random values 


i Optionally send server certificate 
Certificate Request and request client certificate 
ServerHelloDone 


Certificate Send client certificate response if 
Certificate Verify requested 


Change Ciphers pec 
| Finished a 


Change CipherSuite and Finish 
Change Ciphers pec Handshake 





Client Server . : 
«dfn class="calibre50">Figure 


1«/dfn»: Simplified SSL Handshake Sequence 


客户 端 和 服务 器 的 握手 过 程 如 下 所 示 : 


1， 协 商用 于 数据 传输 的 密码 组 

2. 建立 并 共享 客 户 端 和 服务 器 的 会 话 密 钥 
3. 可 选 的 客户 端 对 服务 器 的 认证 

4. 可 选 的 服务 器 对 客户 端的 认证 


第 一 步 的 密码 组 协商 ， 人 允许 客户 端 和 服务 器 选择 一 个 共同 支持 的 密码 组 。SSL3.0 协 议 规范 定 
义 了 31 个 密码 组 。 密 码 组 由 以 下 各 部 分 组 成 : 


e 密 钥 交换 法 
。 数据 传输 密码 
。 建立 消息 认证 代码 (Message Authentication Code[MAC]) 的 消息 摘要 


此 三 个 组 成 部 分 说 明 如 下 。 


密 钥 交换 方法 


密 钥 交换 法 指明 如 何在 客户 端 和 服务 器 的 数据 传输 中 使 用 共享 的 对 称 密 钥 。SSL2.0 仅 使 用 
RSA 密 钥 交 换 ， 而 SSL3.0 可 以 在 启用 证 书 时 ， 选 择 使 用 包括 RSA 的 多 种 密 钥 交换 算法 ， 以 及 
无 须 证 书 和 客户 端 -服务 器 先期 通讯 的 Difife-Hellman 密 钥 交 换 法 。 


密 钥 交换 法 的 一 个 变数 是 数字 签名 (可 用 可 不 用 )， 如 果 用 ， 用 哪 一 种 。 私 有 密 钥 配合 签名 可 以 
确保 在 生成 共享 密 钥 [AC96, p516] 的 信息 交换 过 程 中 抵御 攻击 。 


数据 传输 密码 


SSL 使 用 在 前 面 加 密 对 话 消息 中 有 所 讲述 的 常规 密码 算法 (对 称 密码 )， 可 以 有 包括 不 加 密 在 内 
的 九 种 选择 : 


e No encryption 
e Stream Ciphers 
o RCA with 40-bit keys 
o RC4 with 128-bit keys 
e CBC Block Ciphers 
o RC2 with 40 bit key 
o DES with 40 bit key 
o DES with 56 bit key 
o Triple-DES with 168 bit key 
o Idea (128 bit key) 
o Fortezza (96 bit key) 


这 里 的 "CBC" 是 Cipher Block Chaining， 指 在 加 密 当 前 块 时 会 用 到 先前 已 经 加 密 的 部 分 文 
本 ; "DES" 是 Data Encryption Standard[AC96, ch12]， 有 多 个 变种 (包括 DES40 和 

3DES EDE); ; "ldea" 是 现 有 最 好 的 最 坚强 的 加 密 算 法 之 一 ; "RC2" 是 RSADSI[AC96, ch13] 的 
专属 的 算法 。 


fil Se EB 
HERA — Nie ATITEA, SSLAM EEE : 


e No digest (Null choice) 
e MD5, a 128-bit hash 
e Secure Hash Algorithm (SHA-1), a 160-bit hash 


消息 摘要 用 于 建立 加 密 的 消息 认证 码 (MAC)， 与 消息 本 身 一 同 发 送 ， 以 确保 消息 完整 性 并 抵御 
还 原 攻 击 。 


握手 序列 协议 
握手 序列 使 用 三 个 协议 : 


e «dfn class="calibre27">SSL Handshake Protocol</dfn> ， 以 完成 客 户 端 和 服务 器 之 间 对 
话 的 建立 。 

e <dfn class="calibre27">SSL Change Cipher Spec Protocol</dfn> ， 以 实际 建立 对 话 用 密 
码 组 的 约定 。 

e <dfn class="calibre27">SSL Alert Protocol</dfn> ， 在 客户 端 和 服务 器 之 间 传 输 SSL 出 错 
消息 。 


这 些 协议 和 应 用 协议 的 数据 用 «dfn class="calibre27">SSL Record Protocol</dfn> 进行 封 
装 ， 如 Figure 2 所 示 ， 在 不 检查 数据 的 较 底 层 的 协议 中 传输 。 封 装 协议 对 其 底层 协议 来 说 是 未 
知 的 。 


SSL 
TRS 
Protocol 


SSL Record Protocol 


SSL Change | SSL Alert 


Cipher Spec | Protocol HTTP Telnet 


TCP 


2</dfn>: SSL Protocol Stack 





«dfn class="calibre50">Figure 


SSL 控 制 协议 对 记录 协议 的 封装 ， 使 一 个 正在 进行 的 对 话 在 重 协商 其 控制 协议 后 得 以 安全 地 进 
行 传输 。 如 果 事 先 没 有 建立 对 话 ， 则 会 使 用 Null 密 码 组 ， 也 就 是 说 ， 在 建立 对 话 以 前 ， 不 使 用 
密码 ， 且 消息 没有 完整 性 摘要 。 


数据 传输 


SSL 记 录 协 议 ， 如 Figure 3 所 示 ， 用 于 客户 端 和 服务 器 之 间 的 传输 应 用 和 SSL 控 制 数 据 ， 可 能 
把 数据 分 割 成 较 小 的 单元 ， 或 者 组 合 多 个 较 高 层 协议 数据 为 一 个 单元 。 在 使 用 底层 可 靠 传 输 
协议 传输 数据 单元 之 前 ， 它 可 能 会 对 这 些 单元 进行 压缩 、 附 着 摘要 签名 和 加 密 (注意 : 目前 所 
有 主要 SSL 的 实现 都 缺乏 对 压缩 的 支持 )。 


Application Data 


abcdefghi 


Fragment/Combine 









Record Protocol Units 
Compress 


Compressed Unit 


MAC Encrypt 
Encrypted 
Transmit 
TCP Packet a 


<dfn class="calibre50">Figure 
3</dfn>: SSL Record Protocol 


保护 HTTP 通 讯 


SSL 的 一 个 常见 的 用 途 是 保护 浏览 器 和 网 络 服务 器 之 间 的 网 络 HTTP 通 讯 ， 但 这 并 排除 应 用 于 
不 加 保护 的 HTTP。 其 方法 主要 是 ， 对 普通 HTTP 加 以 SSL 保 护 ( 称 为 HTTPS)， 但 有 一 个 重要 
的 区 别 : 它 使 用 URL 类 型 https 而 不 是 http ， 而 且 使 用 不 同 的 服务 器 端口 (默认 的 是 

443)。 mod ssi 为 Apache 网 络 服务 器 提供 的 功能 主要 就 是 这 些 了 .…. 
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SSL/TLS Hae US : 兼容 性 


所 有 PC 都 是 兼容 的 。 但 是 其 中 一 些 比 另 一 些 更 兼容 。 
-- <cite class="calibre63"> 无 名 氏 </cite> 


本 文 讨论 对 其 他 SSL 方 案 的 向 下 兼容 性 。mod _ssl 并 不 是 Apache 唯 一 存在 的 SSL 方 案 ， 另 外 还 
有 四 种 主要 的 产品 : Ben Laurie 的 免费 的 Apache-SSL( 出 现在 1998 年 ， 与 mod _ssl 同 源 )， 
RedHat 商 业 化 的 Secure Web Server( 基 于 mod _ssl)，Covalent 商 业 化 的 Raven SSL 

Module( 同 样 基于 mod_ssl) 和 C2Net 的 商业 化 产品 Stronghold( 直 到 Stringhold2.x 都 基于 一 个 不 
同 的 演化 分 支 Sioux， 从 Stronghold3.x 起 基于 mod_ssl)。 


使 用 mod_ssI 的 原因 是 ，mod _ssl 几 乎 提供 了 在 大 多 数 情况 下 能 够 兼容 其 他 方案 的 功能 的 超 
集 。 事 实 上 ， 兼 容 性 包括 三 个 方面 : 配置 指令 、 环 境 变量 和 自 定 义 日 志 功 能 。 


IE TE 


为 了 兼容 SSL 方 案 的 配置 指 伟 ， 我 们 做 了 一 个 简单 的 对 应 : 有 直接 对 应 的 指令 则 简单 对 应 ， 没 
有 直接 对 应 的 指 邻 则 会 在 日 志文 件 中 产生 警告 信息 。 表 1 列 出 已 实现 对 应 的 指令 。 目 前 仅 对 
Apache-SSL1.x 和 mod _ssl2.0.XxX 有 完整 的 向 下 兼容 支持 ， 而 仅 支 持 Sioux1.x 和 Stronghold2.x 的 
一 部 分 ， 由 于 其 接口 中 的 特殊 功能 mod_ssl 目 前 尚 不 支持 。 


表 1: 配置 指令 的 对 应 


HES mod ssliE 4 


Apache-SSL 1.x & mod ssl 


2.0.x 兼容 性 : 

SSLEnable SSLEngine on 已 引 
SSLDisable SSLEngine off 已 引 
SSLLogFile file SSLLog file es 
SSLRequiredCiphers Spec SSLCipherSuite Spec 被 和 
SSLRequireCipher C7... SSLRequire %{SSL_CIPHER} in {" CÍ ", ...} Jud 
SSLBanCipher C7... SSLRequire not (%{SSL_CIPHER} in {" C7", ...}) Er 
SSLFakeBasicAuth SSLOptions +FakeBasicAuth 被 


SSLCacheserverPath dir - 已 


SSLCacheServerPort integer 


Apache-SSL 1.x 兼容 性 : 


SSLExportClientCertificates 


SSLCacheserverRunDir dir 


Sioux 1.x 兼容 性 : 


SSL Certrile file 

SSL KeyFile file 

SSL CipherSuite arg 
SSL X509VerifyDir arg 
SSL Log file 

SSL Connect flag 

SSL ClientAuth arg 


SSL X509VerifyDepth arg 


SSL FetchKeyPhraseFrom arg 


SSL SessionDir dir 


SSL Require expr 


SSL CertFileType arg 
SSL KeyFileType arg 
SSL X509VerifyPolicy arg 
SSL LogX509Attributes arg 


Stronghold 2.x 兼容 性 : 


StrongholdAccelerator dir 
StrongholdKey dir 
StrongholdLicenseFile dir 


SSLFlag flag 


SSLOptions +ExportCertData 


sSLCertificateFile file 
SsLCertificateKeyFile file 
SSLCipherSuite arg 
SSLCACertificatePath arg 
SSLLogFile file 

SSLEngine flag 
SSLVerifyClient arg 


SSLVerifyDepth arg 


SsLEngine flag 


Bs 


SSLSessionLockFile file 
SSLCipherList Spec 
RequireSSL 

ssLErrorFile file 

SSLRoot dir 
SSL_CertificateLogDir dir 
AuthCertDir dir 

SSL Group Name 
SSLProxyMachineCertPath dir 


SSLProxyMachineCertFile file 

SSLProxyCACertificatePath 
dir 

SSLProxyCACertificateFile 
file 


SSLProxyVerifyDepth 
number 


SSLProxyCipherList Spec 


环境 变量 


当 使 用 " ssLoptions +CompatEnwvars "时 ， 


SSLMutex file 


SSLCipherSuite Spec 


SSLRequireSSL 


变量 。 表 2 列 出 了 已 实现 的 变量 的 演变 。 





表 2: 环境 变量 的 演变 


旧 变 量 


SSL PROTOCOL VERSION 
SSLEAY VERSION 

HTTPS SECRETKEYSIZE 
HTTPS_KEYSIZE 
HTTPS_CIPHER 
HTTPS_EXPORT 
SSL_SERVER_KEY_SIZE 


SSL_SERVER_CERTIFICATE 


mod ssl == 


SSL PROTOCOL 

SSL VERSION LIBRARY 
SSL CIPHER USEKEYSIZE 
SSL CIPHER ALGKEYSIZE 
SSL CIPHER 

SSL CIPHER EXPORT 

SSL CIPHER ALGKEYSIZE 


SSL SERVER CERT 


说 明 


会 产生 附加 的 、 对 应 于 现存 官方 mod_ssl 变 量 的 环境 


SSL SERVER CERT. START 


SSL SERVER CERT END 


SSL SERVER CERT. SERIAL 


SSL SERVER SIGNATURE ALGORITHM 


SSL SERVER DN 


SSL SERVER CN 


SSL SERVER EMAIL 


SSL SERVER O 


SSL SERVER OU 


SSL SERVER C 


SSL SERVER SP 


SSE SERVER LE 


SSL SERVER IDN 


SSL SERVER ICN 


SSL SERVER IEMAIL 


SSL SERVER IO 


SSL SERVER IOU 


SSL SERVER IC 


SSL SERVER ISP 


SSLE SERVER IL 


SSL CLIENT CERTIFICATE 


SSL CLIENT CERT START 


SSL CLIENT CERT END 


SSL CLIENT CERT. SERIAL 


SSL CLIENT SIGNATURE ALGORITHM 


SSL CLIENT DN 


SSL CLIENT CN 


SSL CLIENT EMAIL 


SSL CLTENT O 


SSL CLIENT OU 


SSL CLIENT C 


SSL CLIENT SP 


SSL SERVER V START 


SSL SERVER V END 


SSL SERVER M SERIAL 


SSL SERVER A SIG 


SSL SERVER S DN 


SSL SERVER S DN CN 


SSL SERVER S DN Email 


SSL SERVER S DN O 


SSL SERVER S DN OU 


SSL SERVER S DN C 


SSL SERVER S DN SP 


SSL SERVER S DN LE 


SSL SERVER I DN 


SSL SERVER I DN CN 


SSL SERVER I DN Email 


SSL SERVER I DN O 


SSL SERVER I DN OU 


SSL SERVER I DN C 


SSL SERVER I DN SP 


SSL SERVER 1I DN L 


SSL CLIENT CERT 


SSL CLIENT V START 


SSL CLIENT V END 


SSL CLIENT M SERIAL 


SSL CLTENT A STG 


SSL CLIENT S DN 


SSL CLIENT S DN CN 


SSL CLIENT S DN Email 


SSL CLIENT S DN O 


SSL CLIENT S DN OU 


SSL CLIENT S DN C 


SSL CLTENT S DN SP 


被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 
被 更 名 


SSL CLIENT L SSL CLIENT S DN L 被 更 名 


SSL_CLIENT_IDN SSL CLIENT I DN 被 更 名 
SSL CLIENT ICN SSL CLIENT I DN CN 被 更 名 
SSL_CLIENT_IEMAIL SSL CLIENT I DN Email 被 更 名 
SSL CLIENT IO SSL CLIENT I DN O 被 更 名 
SSL CLIENT IOU SSL CLIENT I DN OU 被 更 名 
SSL CLIENT IC SSL CLIENT I DN C 被 更 名 
SSL CLIENT ISP SSL CLIENT I DN SP 被 更 名 
SSL CLIENT IL SSL CLIENT I DN L 被 更 名 
SSL_EXPORT SSL_CIPHER_EXPORT 被 更 名 
SSL KEYSIZE SSL CIPHER ALGKEYSIZE 被 更 名 
SSL SECKEYSIZE SSL CIPHER USEKEYSIZE 被 更 名 
SSL_SSLEAY_VERSION SSL_VERSION_LIBRARY 被 更 名 
SSL STRONG CRYPTO - mod_ssl 不 支持 
SSL SERVER KEY. EXP : mod _ssl 不 支持 
SSL SERVER KEY. ALGORITHM : mod _ssl 不 支持 
SSL SERVER KEY. SIZE : mod _ssl 不 支持 
SSL SERVER SESSIONDIR - mod _ssl 不 支持 
SSL_SERVER_CERTIFICATELOGDIR - mod ssl^* 3z SE 
SSL SERVER CERTFILE : mod_ssI| 不 支持 
SSL SERVER KEYFILE : mod _ssl 不 支持 
SSL_SERVER_KEYFILETYPE - mod _ssl 不 支持 
SSL CLIENT. KEY EXP : mod _ssl 不 支持 
SSL CLIENT. KEY. ALGORITHM = mod _ssl 不 支持 
SSL_CLIENT_KEY_SIZE : mod _ssl 不 支持 
自 定 义 日 志 功 能 


如 果 modss/ 被 静态 编译 进 Apache 或 者 被 动态 加 载 (以 DSO 方 式 )， 则 可 以 使 用 参考 文档 中 说 明 
的 由 mod log config 提供 的 自 定义 日 志 格 式 。 但 是 为 了 向 下 兼容 ， 不 能 使 用 用 于 扩展 任何 模 
块 中 任何 变量 的 扩展 格式 "%f varname }x "和 附加 的 密码 格式 " %{ name }c"。 表 3 列 出 了 

已 实现 的 格式 。 


表 3: ABEL ADIT 


Function Call 


..{version}c 
Bat oo te 
..{subjectdn}c 
..{issuerdn}c 
..{errcode}c 


Sese Sl De 


格式 说 明 
SSL 协 议 版 本 
SSL¥ 4 
z P it +464 Subject Distinguished Name 
客户 证 书 的 Issuer Distinguished Name 
客户 证 书 的 出 错 代码 (数值 ) 
客户 证 书 的 出 错 信 息 (文字 ) 


SSL/TLS 高 强度 加 密 : 如 何 …? 


] 题 的 解决 方案 是 简单 而 且 直 接 的 ， 只 是 为 了 给 读者 做 做 练习 。 





-- «cite class="calibre63"> 标 准 教科 书 </cite> 


由 于 SSL、HTTP、Apache 三 者 共同 对 请 求 进行 处 理 ， 这 使 得 在 支持 SSL 的 web 服 务 器 上 实现 
特殊 的 安全 制约 变 得 不 那么 简单 。 本 节 介 绍 了 普通 情况 下 的 解决 方案 ， 作 为 找 出 最 终 方 案 的 
第 一 步 。 采 用 这 些 方案 以 前 ， 先 要 尽量 地 去 理解 ， 不 了 解 其 限制 和 相关 性 就 贸然 使 用 是 最 糟 
糕 的 了 。 


加 密 方案 和 强制 性 高 等 级 安全 


仅 使 用 SSLv2 的 服务 器 
仅 接 受 高 强度 加 密 请 求 的 服务 器 
以 服务 器 为 网 关 的 加 密 

更 强 的 针对 目录 的 加 密 需 求 


如 何 建 立 一 个 仅 使 用 SSLv2 的 服务 器 ? 
可 以 这 样 建立 一 个 仅 使 用 SSLv2 协 议 及 其 密码 算法 的 服务 器 : 
httpd.conf 


SSLProtocol -all +SSLv2 


SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP 
如 何 建立 一 个 仅 接 受 高 强度 加 密 请 求 的 SSL 服 务 器 ? 
如 下 设置 为 仅 使 用 最 强 的 七 种 密码 算法 : 


httpd.conf 


SSLProtocol all 


SSLCipherSuite HIGH:MEDIUM 


A ende. uu Den AcKBUJSSLBR A ZR. MMI xt 
外 浏览 器 使 用 更 强 的 加 密 ? 


这 个 功能 被 称 为 以 服务 器 为 网 关 的 加 密 (Server Gated Cryptography[SGC]), f£B&mod ssl 
布 的 README.GlobalrD 文档 中 有 详细 说 明 。 简 单 地 说 就 是 : 服务 器 拥有 一 个 由 来 自 Verisign 的 
一 个 特殊 的 CA 证 书签 发 的 服务 器 身份 证 ， 从 而 在 对 外 浏览 器 上 实现 高 强度 加 密 。 其 过 程 如 
下 : 浏览 器 使 用 对 外 密码 进行 连接 ， 服 务 器 返回 其 全 局 ID 身份 证 ， 浏 览 器 校 验 后 在 后 继 HTTP 
通讯 产生 之 前 提升 其 密码 组 。 现 在 的 问题 是 : 如 何人 允 许 这 样 的 提升 ， 而 又 强制 性 地 使 用 高 强度 
加 密 。 换 句 话说 就 是 : 浏览 器 必须 在 开始 连接 时 就 使 用 高 强度 加 密 ， 或 者 提升 到 高 强度 加 密 ， 
但 是 维持 对 外 密码 是 不 允许 的 。 以 下 巧妙 地 解决 了 这 个 问题 : 


httpd.conf 


# 允许 在 初始 握手 阶段 使 用 所 有 的 密码 ， 以 允许 对 外 服务 器 通过 SGC 功 能 提升 密码 组 
SSLCipherSuite ALL: !ADH:RC4+RSA: +HIGH:+MEDIUM: +LOW: +SSLv2:+EXP:+eNULL 
<Directory /usr/local/apache2/htdocs> 

# 但 是 最 终 会 拒绝 所 有 没有 提升 密码 组 的 浏览 器 

SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128 


«/Directory» 


如 何 建立 接受 所 有 类 型 密码 的 SSL 服 务 器 ， 但 对 特定 的 URL 实 施 
高 强度 加 密 ? 


显然 ， 不 能 使 用 服务 器 全 局 设置 ssLciphersuite ， 它 会 限制 密码 为 强 类 型 。 但 是 ，mod ssljt 
许 重 配置 针对 目录 的 密码 组 ， 并 自动 进行 一 个 带 有 服从 新 配置 的 SSL 参 数 的 重 协 商 。 因 此 ， 其 
解决 方案 成 了 : 


# 在 一 般 情况 下 的 处 理 是 宽松 的 

SSLCipherSuite ALL: !ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL 
«Location /strong/area» 

# 但 对 于 https://hostname/strong/area/ 及 其 以 下 的 内 容 要 求 高 强度 密码 
SSLCipherSuite HIGH:MEDIUM 


«/Location» 


客户 认证 和 访问 控制 


。 简单 的 基于 证 书 的 客户 认证 
e 选择 性 的 基于 证 书 的 客户 认证 
e 特殊 的 基于 证 书 的 客户 认证 
e intranet 和 internet 的 认证 


在 知道 所 有 客户 的 情况 下 ， 如 何 实现 基于 证 书 的 客户 认证 ? 


如 果 你 了 解 你 的 用 户 群 体 (比如 : 一 个 封闭 的 用 户 组 )， 正 如 在 一 个 Intranet 中 ， 则 可 以 使 用 一 
般 的 证 书 认 证 。 所 有 要 做 的 事情 只 是 ， 建 立 由 你 自己 的 CA 证 书签 发 的 客户 证 书 cacrt ， 并 
依 此 证 书 校 验 客户 。 


httpd.conf 


require a client certificate which has to be directly 
signed by our CA certificate in ca.crt 
SSLVerifyClient require 

SSLVerifyDepth 1 


SSLCACertificateFile conf/ssl.crt/ca.crt 


如 何 针 对 一 个 特定 的 URL 对 客户 实施 基于 证 书 的 认证 ， 而 同时 又 
允许 任何 客户 访问 服务 器 其 余部 分 ? 


这 又 要 用 到 mod ssi 提供 的 针对 目录 的 重 配置 功能 : 


httpd.conf 


SSLVerifyClient none 
SSLCACertificateFile conf/ssl.crt/ca.crt 
«Location /secure/area» 

SSLVerifyClient require 

SSLVerifyDepth 1 


«/Location» 


如 何 针 对 某 些 URL 对 特定 的 客户 实施 基于 证 书 的 认证 ， 而 同时 又 
允许 任何 客户 访问 服务 器 其 余部 分 ? 

其 关键 在 于 对 客户 证 书 的 各 个 组 成 部 分 进行 验证 ， 一 般 就 是 指 验证 Distinguished Name (DN) 
的 全 部 或 部 分 。 有 基于 mod auth basic 和 基于 SSLRequire 类 型 的 两 种 方法 以 验证 。 第 一 种 方 
法 适合 用 于 客户 完全 属于 不 同类 型 ， 并 为 所 有 客户 建立 了 密码 数据 库 的 情形 ; 第 二 种 方法 适 
用 于 客户 都 属于 一 个 被 编码 写 人 DN 的 公共 分 级 的 一 部 分 的 情形 ， 因 为 匹配 客 户 会 更 容易 。 


第 一 种 方法 : 


httpd.conf 


SSLVerifyClient none 
«Directory /usr/local/apache2/htdocs/secure/area» 


SSLVerifyClient require 
SSLVerifyDepth 5 
SSLCACertificateFile conf/ssl.crt/ca.crt 
SSLCACertificatePath conf/ssl.crt 


SSLOptions *FakeBasicAuth 
SSLRequireSSL 
AuthName "Snake Oil Authentication" 
AuthType Basic 
AuthBasicProvider file 
AuthUserFile /usr/local/apache2/conf/httpd.passwd 
require valid-user 
«/Directory» 
httpd.passwd 


/C-DE/L-Munich/O-Snake Oil, Ltd./OU-Staff/CN-Foo:xxj31ZMTZZkVA 
/C=US/L=S.F./0=Snake Oil, Ltd./OU=CA/CN=Bar :XXj31ZMTZzkVA 
/C-US/L-L.A./O-Snake Oil, Ltd./OU-Dev/CN-Quux:Xxxj31ZMTZZkVA 


第 二 种 方法 : 
httpd.conf 
SSLVerifyClient none 
«Directory /usr/local/apache2/htdocs/secure/area> 
SSLVerifyClient require 
SSLVerifyDepth 5 


SSLCACertificateFile conf/ssl.crt/ca.crt 
SSLCACertificatePath conf/ssl.crt 


SSLOptions *FakeBasicAuth 
SSLRequireSSL 
SSLRequire 9((SSL CLIENT S DN O) eq "Snake Oil, Ltd." \ 


and 94[SSL CLIENT S DN OU) in {"Staff", "CA", "Dev"} 
«/Directory» 


如 何 要 求 来 自 Internet 的 客户 使 用 强 密码 的 HTTPS， 并 对 其 
Intranet 站 点 的 子 区 域 实 dab seat ily 户 证 书 的 认证 ， 
同时 又 允许 Intranet 的 客户 进行 普通 的 HTTP 访 问 ? 


假设 Intranet 客 户 的 IP 地 址 是 192.160.1.0/24，lntranet 站 点 子 区 域 的 URL 是 /subarea ， 则 可 


以 在 HTTPS 虚 拟 主 机 以 外 这 样 配置 (以 同时 作用 于 HTTPS 和 HTTP) : 


httpd.conf 


SSLCACertificateFile conf/ssl.crt/company-ca.crt 


«Directory /usr/local/apache2/htdocs» 
4 Subarea 以 外 的 区 域 只 允许 来 自 Intranet 的 访问 


Order deny, allow 

Deny from all 

Allow from 192.168.1.0/24 
</Directory> 


<Directory /usr/local/apache2/htdocs/subarea> 

# 在 subarea 以 内 ， 人 允许 所 有 来 自 INtranet 的 访问 ， 

# 但 对 来 自 Internet 的 访问 ， 仅 允许 HTTPS+Strong-Cipher+Password 
4 或 者 HTTPS+Strong-Cipher+Client-Certificate 


4 如 果 使 用 了 HTTPS， 则 确保 使 用 高 强度 加 密 
# 同时 人 允许 客户 以 基本 认证 的 形式 认证 


SSLVerifyClient optional 

SSLVerifyDepth 1 

SSLOptions *FakeBasicAuth +StrictRequire 
SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128 
# 强制 来 自 Internet 的 客户 使 用 HTTPS 

RewriteEngine on 

RewriteCond %{REMOTE_ADDR} !4192\.168\.1\.[0-9]+$ 
RewriteCond %{HTTPS} !=on 

RewriteRule .* - [F] 

# 人 允许 网络 访问 和 基本 认证 

Satisfy any 

# 控制 网 络 访问 

Order deny, allow 

Deny from all 

Allow 192.168.1.0/24 

# HTTP 基本 认证 

AuthType basic 

AuthName "Protected Intranet Area" 
AuthBasicProvider file 

AuthUserFile conf/protected.passwd 

Require valid-user 


</Directory> 


SSL/TLS Strong Encryption: FAQ 


The wise man doesn't give the right answers, he poses the right questions. 
-- «cite class-"calibre63"» Claude Levi-Strauss</cite> 


This chapter is a collection of frequently asked questions (FAQ) and corresponding answers 
following the popular USENET tradition. Most of these questions occurred on the 
Newsgroup comp.infosystems.www.servers.unix or the mod ssl Support Mailing List 

modssl-usersQmodssl.org . They are collected at this place to avoid answering the same 
questions over and over. 


Please read this chapter at least once when installing mod ssl or at least search for your 
problem here before submitting a problem report to the author. 


About The Module 


e What is the history of mod ssl? 
e mod ssl and Year 2000? 


e mod ssl and Wassenaar Arrangement? 


What is the history of mod ssl? 


The mod ssl v1 package was initially created in April 1998 by Ralf S. Engelschall via porting 
Ben Laurie's Apache-SSL 1.17 source patches for Apache 1.2.6 to Apache 1.3b6. Because 
of conflicts with Ben Laurie's development cycle it then was re-assembled from scratch for 
Apache 1.3.0 by merging the old mod ssl 1.x with the newer Apache-SSL 1.18. From this 
point on mod ssl lived its own life as mod ssl v2. The first publicly released version was 
mod ssl 2.0.0 from August 10th, 1998. 


After US export restrictions on cryptographic software were loosened, mod ssl became part 
of the Apache HTTP Server with the release of Apache httpd 2. 


Is mod ssl affected by the Wassenaar Arrangement? 


First, let us explain what «dfn class="calibre27">Wassenaar</dfn> and its «dfn 
class-"calibre27"» Arrangement on Export Controls for Conventional Arms and Dual-Use 
Goods and Technologies</dfn> is: This is a international regime, established in 1995, to 


control trade in conventional arms and dual-use goods and technology. It replaced the 
previous «dfn class="calibre27">CoCom</dfn> regime. Further details on both the 
Arrangement and its signatories are available at http://www.wassenaar.org/. 


In short, the aim of the Wassenaar Arrangement is to prevent the build up of military 
capabilities that threaten regional and international security and stability. The Wassenaar 
Arrangement controls the export of cryptography as a dual-use good, that is, something that 
has both military and civilian applications. However, the Wassenaar Arrangement also 
provides an exemption from export controls for mass-market software and free software. 


In the current Wassenaar «cite class="calibre27">List of Dual Use Goods and Technologies 
And Munitions</cite>, under <q class-"calibre27"» GENERAL SOFTWARE NOTE (GSN) 
</q> it says <q class="calibre27">The Lists do not control "software" which is either: 1. [...] 2. 
"in the public domain".«/q» And under <q class="calibre27">DEFINITIONS OF TERMS 
USED IN THESE LISTS</q> we find <q class="calibre27">In the public domain</q> defined 
as <q class-"calibre27"» "technology" or "software" which has been made available without 
restrictions upon its further dissemination. Note: Copyright restrictions do not remove 
"technology" or "software" from being "in the public domain".«/q» 


So, both mod ssl and OpenSSL are <q class="calibre27">in the public domain</q> for the 
purposes of the Wassenaar Arrangement and its <q class="calibre27">List of Dual Use 
Goods and Technologies And Munitions List</q>, and thus not affected by its provisions. 


Installation 


e Why do I get permission errors related to SSLMutex when | start Apache? 
e Why does mod ssl stop with the error "Failed to generate temporary 512 bit RSA 
private key", when | start Apache? 


Why do I get permission errors related to SSLMutex when | 
start Apache? 


Errors such as 
" mod ssl: Child could not open SSLMutex lockfile /opt/apache/logs/ssl mutex.18332 (System t 
" are usually caused by overly restrictive permissions on the parent directories. Make sure 
that all parent directories (here /opt , /opt/apache 和 /opt/apache/1ogs ) have the x-bit set 
for, at minimum, the UID under which Apache's children are running (see the user 


directive). 


Why does mod ssl stop with the error "Failed to generate 
temporary 512 bit RSA private key", when | start Apache? 


Cryptographic software needs a source of unpredictable data to work correctly. Many open 
source operating systems provide a "randomness device" that serves this purpose (usually 
named /dev/random ). On other systems, applications have to seed the OpenSSL Pseudo 
Random Number Generator (PRNG) manually with appropriate data before generating keys 
or performing public key encryption. As of version 0.9.5, the OpenSSL functions that need 
randomness report an error if the PRNG has not been seeded with at least 128 bits of 
randomness. 


To prevent this error, mod ssi has to provide enough entropy to the PRNG to allow it to 
work correctly. This can be done via the ssrRandomseed directives. 


Configuration 


e |s it possible to provide HTTP and HTTPS from the same server? 

e Which port does HTTPS use? 

e How do | speak HTTPS manually for testing purposes? 

e Why does the connection hang when | connect to my SSL-aware Apache server 

e Why do I get "Connection Refused" errors, when trying to access my newly installed 
Apache*mod ssl server via HTTPS? 

e Why are the ss. xxx variables not available to my CGI & SSI scripts? 

e How can | switch between HTTP and HTTPS in relative hyperlinks? 


Is it possible to provide HTTP and HTTPS from the same 
server? 


Yes. HTTP and HTTPS use different server ports (HTTP binds to port 80, HTTPS to port 
443), so there is no direct conflict between them. You can either run two separate server 
instances bound to these ports, or use Apache's elegant virtual hosting facility to create two 
virtual servers over one instance of Apache - one responding to requests on port 80 and 
speaking HTTP and the other responding to requests on port 443 speaking HTTPS. 


Which port does HTTPS use? 


You can run HTTPS on any port, but the standards specify port 443, which is where any 
HTTPS compliant browser will look by default. You can force your browser to look on a 
different port by specifying it in the URL like this (for port 666): 


https://secure.server.dom:666/ 


How do I speak HTTPS manually for testing purposes? 


While you usually just use 


$ telnet localhost 80 


GET / HTTP/1.0 


for simple testing of Apache via HTTP, it's not so easy for HTTPS because of the SSL 
protocol between TCP and HTTP. With the help of OpenSSL's s client command, 
however, you can do a similar check for HTTPS: 


$ openssl s client -connect localhost:443 -state -debug 


GET / HTTP/1.0 


Before the actual HTTP response you will receive detailed information about the SSL 
handshake. For a more general command line client which directly understands both HTTP 
and HTTPS, can perform GET and POST operations, can use a proxy, supports byte 
ranges, etc. you should have a look at the nifty CURL tool. Using this, you can check that 
Apache is responding correctly on ports 80 and 443 as follows: 


$ curl http://localhost/ 


$ curl https://localhost/ 


Why does the connection hang when I connect to my SSL- 
aware Apache server? 


Because you connected with HTTP to the HTTPS port, i.e. you used an URL of the form 
" http:// "instead of " https:// ". This also happens the other way round when you 
connect via HTTPS to a HTTP port, i.e. when you try to use " https:// " on a server that 
doesn't support SSL (on this port). Make sure you are connecting to a virtual server that 
supports SSL, which is probably the IP associated with your hostname, not localhost 
(127.0.0.1). 


Why dol get "Connection Refused" messages, when trying 
to access my newly installed Apache*mod ssl server via 
HTTPS? 


This can happen for various reasons. The most common mistakes include starting Apache 
with just apachectl start (Or httpd )instead of apachectl startssl (Or httpd -DSSL ). 
Your configuration may also be incorrect. Please make sure that your Listen directives 
match your «virtualHost» directives. If all else fails, please start afresh, using the default 
configuration provided by mod ss1 . 


Why are the ssi. xxx variables not available to my CGI & 
SSI scripts? 


Please make sure you have" ssLoptions +StdEnwars " enabled for the context of your 
CGI/SSI requests. 


How can | switch between HTTP and HTTPS in relative 
hyperlinks? 


Usually, to switch between HTTP and HTTPS, you have to use fully-qualified hyperlinks 
(because you have to change the URL scheme). Using mod rewrite however, you can 
manipulate relative hyperlinks, to achieve the same effect. 


RewriteEngine on 
RewriteRule — ^/(.*):SSL$  https://%{SERVER_NAME}/$1 [R,L] 


RewriteRule — ^/(.*):NOSSL$ http://%{SERVER_NAME}/$1  [R,L] 


This rewrite ruleset lets you use hyperlinks of the form <a hrefz"document .html:ssL"» , to 
switch to HTTPS in a relative link. 


Certificates 


e What are RSA Private Keys, CSRs and Certificates? 

e |s there a difference on startup between the original Apache and an SSL-aware 
Apache? 

e How do | create a self-signed SSL Certificate for testing purposes? 

e How do I create a real SSL Certificate? 

e How do I create and use my own Certificate Authority (CA)? 

e How can | change the pass-phrase on my private key file? 

e How can get rid of the pass-phrase dialog at Apache startup time? 

e How do I verify that a private key matches its Certificate? 

e Why do connections fail with an "alert bad certificate" error? 

e Why does my 2048-bit private key not work? 

e Why is client authentication broken after upgrading from SSLeay version 0.8 to 0.9? 

e How can | convert a certificate from PEM to DER format? 

e Why can't | find the getca 或 getverisign programs mentioned by Verisign, for 
installing my Verisign certificate? 

e Canluse the Server Gated Cryptography (SGC) facility (aka Verisign Global ID) with 
mod ssl? 

e Why do browsers complain that they cannot verify my Verisign Global ID server 


certificate? 


What are RSA Private Keys, CSRs and Certificates? 


An RSA private key file is a digital file that you can use to decrypt messages sent to you. It 
has a public component which you distribute (via your Certificate file) which allows people to 
encrypt those messages to you. 


A Certificate Signing Request (CSR) is a digital file which contains your public key and your 
name. You send the CSR to a Certifying Authority (CA), who will convert it into a real 
Certificate, by signing it. 


A Certificate contains your RSA public key, your name, the name of the CA, and is digitally 
signed by the CA. Browsers that know the CA can verify the signature on that Certificate, 
thereby obtaining your RSA public key. That enables them to send messages which only you 
can decrypt. 


See the 简介 chapter for a general description of the SSL protocol. 


Is there a difference on startup between the original Apache 
and an SSL-aware Apache? 


Yes. In general, starting Apache with mod ss1 built-in is just like starting Apache without it. 
However, if you have a passphrase on your SSL private key file, a startup dialog will pop up 
which asks you to enter the pass phrase. 


Having to manually enter the passphrase when starting the server can be problematic - for 
example, when starting the server from the system boot scripts. In this case, you can follow 
the steps below to remove the passphrase from your private key. 


How do I create a self-signed SSL Certificate for testing 
purposes? 


1. Make sure OpenSSL is installed and in your PATH . 


2. Run the following command, to create server.key 和 server.crt files: 
**$ openssl req -new -x509 -nodes -out server.crt -keyout server.key** These can be 
used as follows in your httpd.conf file: 


SSLCertificateFile /path/to/this/server.crt 
SSLCertificateKeyFile /path/to/this/server.key 


3. It is important that you are aware that this server.key does not have any passphrase. 
To add a passphrase to the key, you should run the following command, and enter & 
verify the passphrase as requested. 


**$ openssl rsa -des3 -in server.key -out server.key.new** 
**$ mv server.key.new server.key** 


Please backup the server.key file, and the passphrase you entered, in a secure 
location. 


How do I create a real SSL Certificate? 


Here is a step-by-step description: 
1. Make sure OpenSSL is installed and in your PATH . 
2. Create a RSA private key for your Apache server (will be Triple-DES encrypted and 
PEM formatted): 
**$ openssl genrsa -des3 -out server.key 1024** 
Please backup this server.key file and the pass-phrase you entered in a secure 
location. You can see the details of this RSA private key by using the command: 
**$ openssl rsa -noout -text -in server.key** 
If necessary, you can also create a decrypted PEM version (not recommended) of this 
RSA private key with: 
**$ openssl rsa -in server.key -out server.key.unsecure** 
3. Create a Certificate Signing Request (CSR) with the server RSA private key (output will 
be PEM formatted): 
**$ openssl req -new -key server.key -out server.csr** 
Make sure you enter the FQDN ("Fully Qualified Domain Name") of the server when 
OpenSSL prompts you for the "CommonName", i.e. when you generate a CSR for a 


website which will be later accessed via https://www.foo.dom/ , enter "www.foo.dom" 
here. You can see the details of this CSR by using 


**$ openssl req -noout -text -in server.csr** 


4. You now have to send this Certificate Signing Request (CSR) to a Certifying Authority 
(CA) to be signed. Once the CSR has been signed, you will have a real Certificate, 
which can be used by Apache. You can have a CSR signed by a commercial CA, or you 
can create your own CA to sign it. Commercial CAs usually ask you to post the CSR 


into a web form, pay for the signing, and then send a signed Certificate, which you can 
store in a server.crt file. For more information about commercial CAs see the following 
locations: 


i. Verisign http://digitalid.verisign.com/server/apacheNotice.htm 
ii. Thawte http://www.thawte.com/ 
iii. CertiSign Certificadora Digital Ltda. http://www.certisign.com.br 
iv. IKS GmbH http://www.iks-jena.de/leistungen/ca/ 
v. Uptime Commerce Ltd. http://www.uptimecommerce.com 
vi. BelSign NV/SA http://www.belsign.beFor details on how to create your own CA, 
and use this to sign a CSR, see below. Once your CSR has been signed, you can 


see the details of the Certificate as follows: 
**$ openssl x509 -noout -text -in server.crt** 


5. You should now have two files: server.key 和 server.crt . These can be used as 
follows in your httpd.conf file: 


SSLCertificateFile /path/to/this/server.crt 
SSLCertificateKeyFile /path/to/this/server.key 


The server.csr file is no longer needed. 


How do I create and use my own Certificate Authority (CA)? 


The short answer is to use the cA.sh 或 cA.pl script provided by OpenSSL. Unless you 
have a good reason not to, you should use these for preference. If you cannot, you can 
create a self-signed Certificate as follows: 


1. Create a RSA private key for your server (will be Triple-DES encrypted and PEM 
formatted): 


**$ openssl genrsa -des3 -out server.key 1024** 


Please backup this host.key file and the pass-phrase you entered in a secure location. 


You can see the details of this RSA private key by using the command: 
**$ openssl rsa -noout -text -in server.key** 


If necessary, you can also create a decrypted PEM version (not recommended) of this 
RSA private key with: 


**$ openssl rsa -in server.key -out server.key.unsecure** 


2. Create a self-signed Certificate (X509 structure) with the RSA key you just created 
(output will be PEM formatted): 


**$ openssl req -new -x509 -nodes -shai -days 365 -key server.key -out server.crt** 


This signs the server CSR and results ina server.crt file. You can see the details of 
this Certificate using: 


**$ openssl x509 -noout -text -in server.crt** 


How can I change the pass-phrase on my private key file? 


You simply have to read it with the old pass-phrase and write it again, specifying the new 
pass-phrase. You can accomplish this with the following commands: 


**$ openssl rsa -des3 -in server.key -out server.key.new** 
**$ mv server.key.new server.key** 


The first time you're asked for a PEM pass-phrase, you should enter the old pass-phrase. 
After that, you'll be asked again to enter a pass-phrase - this time, use the new pass-phrase. 
If you are asked to verify the pass-phrase, you'll need to enter the new pass-phrase a 
second time. 


How can | get rid of the pass-phrase dialog at Apache 
startup time? 


The reason this dialog pops up at startup and every re-start is that the RSA private key 
inside your server.key file is stored in encrypted format for security reasons. The pass- 
phrase is needed decrypt this file, so it can be read and parsed. Removing the pass-phrase 
removes a layer of security from your server - proceed with caution! 


1. Remove the encryption from the RSA private key (while keeping a backup copy of the 
original file): 


**$ cp server.key server.key.org** 
**$ openssl rsa -in server.key.org -out server.key** 


2. Make sure the server.key file is only readable by root: 


**$ chmod 400 server.key** 


NOW server.key contains an unencrypted copy of the key. If you point your server at this 
file, it will not prompt you for a pass-phrase. HOWEVER, if anyone gets this key they will be 
able to impersonate you on the net. PLEASE make sure that the permissions on this file are 
such that only root or the web server user can read it (preferably get your web server to start 
as root but run as another user, and have the key readable only by root). 


As an alternative approach you can use the " ssLPassPhraseDialog exec:/path/to/program " 
facility. Bear in mind that this is neither more nor less secure, of course. 


How do verify that a private key matches its Certificate? 


A private key contains a series of numbers. Two of these numbers form the "public key", the 
others are part of the "private key". The "public key" bits are included when you generate a 
CSR, and subsequently form part of the associated Certificate. 


To check that the public key in your Certificate matches the public portion of your private key, 
you simply need to compare these numbers. To view the Certificate and the key run the 
commands: 


**$ openssl x509 -noout -text -in server.crt** 
**$ openssl rsa -noout -text -in server.key** 


The 'modulus' and the 'public exponent' portions in the key and the Certificate must match. 
As the public exponent is usually 65537 and it's difficult to visually check that the long 
modulus numbers are the same, you can use the following approach: 


**$ openssl x509 -noout -modulus -in server.crt | openssl md5** 
**$ openssl rsa -noout -modulus -in server.key | openssl md5** 


This leaves you with two rather shorter numbers to compare. It is, in theory, possible that 
these numbers may be the same, without the modulus numbers being the same, but the 
chances of this are overwhelmingly remote. 


Should you wish to check to which key or certificate a particular CSR belongs you can 
perform the same calculation on the CSR as follows: 


**$ openssl req -noout -modulus -in server.csr | openssl md5** 


Why do connections fail with an "alert bad certificate" 
error? 


Errors such as 

OpenSSL: error:14094412: SSL routines:SSL3 READ BYTES:sslv3 alert bad certificate inthe 
SSL logfile, are usually caused a browser which is unable to handle the server 
certificate/private-key. For example, Netscape Navigator 3.x is unable to handle RSA key 
lengths not equal to 1024 bits. 


Why does my 2048-bit private key not work? 


The private key sizes for SSL must be either 512 or 1024 bits, for compatibility with certain 
web browsers. A keysize of 1024 bits is recommended because keys larger than 1024 bits 
are incompatible with some versions of Netscape Navigator and Microsoft Internet Explorer, 
and with other browsers that use RSA's BSAFE cryptography toolkit. 


Why is client authentication broken after upgrading from 
SSLeay version 0.8 to 0.9? 


The CA certificates under the path you configured with sstcAcertificatePath are found by 
SSLeay through hash symlinks. These hash values are generated by the 

' openssl x509 -noout -hash 'command. However, the algorithm used to calculate the hash 

for a certificate changed between SSLeay 0.8 and 0.9. You will need to remove all old hash 
symlinks and create new ones after upgrading. Use the Makefile provided by mod ssl. 


How can | convert a certificate from PEM to DER format? 


The default certificate format for SSLeay/OpenSSL is PEM, which is simply Base64 encoded 
DER, with header and footer lines. For some applications (e.g. Microsoft Internet Explorer) 
you need the certificate in plain DER format. You can convert a PEM file cert.pem into the 


corresponding DER file cert.der using the following command: 
**$ openssl x509 -in cert.pem -out cert.der -outform DER** 


Why can't I find the getca 或 getverisign programs 
mentioned by Verisign, for installing my Verisign 
certificate? 


Verisign has never provided specific instructions for Apache-*mod ssl. The instructions 
provided are for C2Net's Stronghold (a commercial Apache based server with SSL support). 


To install your certificate, all you need to do is to save the certificate to a file, and give the 
name of that file to the sstcertificateFile directive. You will also need to give it the key 
file. For more information, see the sstcertificatekeyFile directive. 


Can | use the Server Gated Cryptography (SGC) facility (aka 
Verisign Global ID) with mod ssl? 


Yes. mod ssl has included support for the SGC facility since version 2.1. No special 
configuration is required - just use the Global ID as your server certificate. The step up of the 
clients is then automatically handled by mod ssi atrun-time. 


Why do browsers complain that they cannot verify my 
Verisign Global ID server certificate? 


Verisign uses an intermediate CA certificate between the root CA certificate (which is 
installed in the browsers) and the server certificate (which you installed on the server). You 
should have received this additional CA certificate from Verisign. If not, complain to them. 
Then, configure this certificate with the ssLcertificateChainFile directive. This ensures that 
the intermediate CA certificate is sent to the browser, filling the gap in the certificate chain. 


The SSL Protocol 


e Why do | get lots of random SSL protocol errors under heavy server load? 

e Why does my webserver have a higher load, now that it serves SSL encrypted traffic? 

e Why do HTTPS connections to my server sometimes take up to 30 seconds to establish 
a connection? 

e What SSL Ciphers are supported by mod ssl? 

e Why do I get "no shared cipher" errors, when trying to use Anonymous Diffie-Hellman 
(ADH) ciphers? 

e Why do I get a 'no shared ciphers' error when connecting to my newly installed server? 

e Why can't | use SSL with name-based/non-IP-based virtual hosts? 

e Why is it not possible to use Name-Based Virtual Hosting to identify different SSL virtual 
hosts? 

e How do I get SSL compression working? 

e When I use Basic Authentication over HTTPS the lock icon in Netscape browsers stays 
unlocked when the dialog pops up. Does this mean the username/password is being 
sent unencrypted? 

e Why do | get I/O errors when connecting via HTTPS to an Apache*mod ssl server with 
Microsoft Internet Explorer (MSIE)? 

e Why do | get I/O errors, or the message "Netscape has encountered bad data from the 
server", when connecting via HTTPS to an Apache-*mod ssl server with Netscape 
Navigator? 


Why do I get lots of random SSL protocol errors under 
heavy server load? 


There can be a number of reasons for this, but the main one is problems with the SSL 
session Cache specified by the ssLSessioncache directive. The DBM session cache is the 
most likely source of the problem, so using the SHM session cache (or no cache at all) may 
help. 


Why does my webserver have a higher load, now that it 
serves SSL encrypted traffic? 


SSL uses strong cryptographic encryption, which necessitates a lot of number crunching. 
When you request a webpage via HTTPS, everything (even the images) is encrypted before 
itis transferred. So increased HTTPS traffic leads to load increases. 


Why do HTTPS connections to my server sometimes take 
up to 30 seconds to establish a connection? 


This is usually caused by a /dev/random device for sstRandomseed which blocks the read(2) 
call until enough entropy is available to service the request. More information is available in 
the reference manual for the ssLRandomSeed directive. 


What SSL Ciphers are supported by mod_ssl? 


Usually, any SSL ciphers supported by the version of OpenSSL in use, are also supported 
by mod ss1 . Which ciphers are available can depend on the way you built OpenSSL. 
Typically, at least the following ciphers are supported: 


RC4 with MD5 

RC4 with MD5 (export version restricted to 40-bit key) 
RC2 with MD5 

RC2 with MD5 (export version restricted to 40-bit key) 
IDEA with MD5 

DES with MD5 

Triple-DES with MD5 
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To determine the actual list of ciphers available, you should run the following: 


$ openssl ciphers -v 


Why do I get "no shared cipher" errors, when trying to use 
Anonymous Diffie-Hellman (ADH) ciphers? 


By default, OpenSSL does not allow ADH ciphers, for security reasons. Please be sure you 
are aware of the potential side-effects if you choose to enable these ciphers. 


In order to use Anonymous Diffie-Hellman (ADH) ciphers, you must build OpenSSL with 


-DSSL_ALLOW_ADH ", and then add " ApH "into your ssLciphersuite . 


Why dol get a 'no shared ciphers' error when connecting to 
my newly installed server? 


Either you have made a mistake with your ssrciphersuite directive (compare it with the 
pre-configured example in httpd.conf-dist ) or you chose to use DSA/DH algorithms 
instead of RSA when you generated your private key and ignored or overlooked the 
warnings. If you have chosen DSA/DH, then your server cannot communicate using RSA- 
based SSL ciphers (at least until you configure an additional RSA-based certificate/key pair). 
Modern browsers like NS or IE can only communicate over SSL using RSA ciphers. The 
result is the "no shared ciphers" error. To fix this, regenerate your server certificate/key pair, 
using the RSA algorithm. 


Why can't | use SSL with name-based/non-IP-based virtual 
hosts? 


The reason is very technical, and a somewhat "chicken and egg" problem. The SSL protocol 
layer stays below the HTTP protocol layer and encapsulates HTTP. When an SSL 
connection (HTTPS) is established Apache/mod ssl has to negotiate the SSL protocol 
parameters with the client. For this, mod ssl has to consult the configuration of the virtual 
server (for instance it has to look for the cipher suite, the server certificate, etc.). But in order 
to go to the correct virtual server Apache has to know the Host HTTP header field. To do 
this, the HTTP request header has to be read. This cannot be done before the SSL 
handshake is finished, but the information is needed in order to complete the SSL 
handshake phase. Bingo! 


Why is it not possible to use Name-Based Virtual Hosting to 
identify different SSL virtual hosts? 


Name-Based Virtual Hosting is a very popular method of identifying different virtual hosts. It 
allows you to use the same IP address and the same port number for many different sites. 
When people move on to SSL, it seems natural to assume that the same method can be 
used to have lots of different SSL virtual hosts on the same server. 


It comes as rather a shock to learn that it is impossible. 


The reason is that the SSL protocol is a separate layer which encapsulates the HTTP 
protocol. So the SSL session is a separate transaction, that takes place before the HTTP 
session has begun. The server receives an SSL request on IP address X and port Y (usually 
443). Since the SSL request does not contain any Host: field, the server has no way to 
decide which SSL virtual host to use. Usually, it will just use the first one it finds, which 
matches the port and IP address specified. 


You can, of course, use Name-Based Virtual Hosting to identify many non-SSL virtual hosts 
(all on port 80, for example) and then have a single SSL virtual host (on port 443). But if you 
do this, you must make sure to put the non-SSL port number on the NameVirtualHost 
directive, e.g. 


NameVirtualHost 192.168.1.1:80 


Other workaround solutions include: 


Using separate IP addresses for different SSL hosts. Using different port numbers for 
different SSL hosts. 


How do I get SSL compression working? 


Although SSL compression negotiation was defined in the specification of SSLv2 and TLS, it 
took until May 2004 for RFC 3749 to define DEFLATE as a negotiable standard compression 
method. 


OpenSSL 0.9.8 started to support this by default when compiled with the zlib option. If 
both the client and the server support compression, it will be used. However, most clients 
still try to initially connect with an SSLv2 Hello. As SSLv2 did not include an array of prefered 
compression algorithms in its handshake, compression cannot be negotiated with these 
clients. If the client disables support for SSLv2, either an SSLv3 or TLS Hello may be sent, 
depending on which SSL library is used, and compression may be set up. You can verify 
whether clients make use of SSL compression by logging the %{ssL_comMPRESS_METHOD}x 
variable. 


When I use Basic Authentication over HTTPS the lock icon 
in Netscape browsers stays unlocked when the dialog pops 
up. Does this mean the username/password is being sent 
unencrypted? 


No, the username/password is transmitted encrypted. The icon in Netscape browsers is not 
actually synchronized with the SSL/TLS layer. It only toggles to the locked state when the 
first part of the actual webpage data is transferred, which may confuse people. The Basic 
Authentication facility is part of the HTTP layer, which is above the SSL/TLS layer in HTTPS. 
Before any HTTP data communication takes place in HTTPS, the SSL/TLS layer has 
already completed its handshake phase, and switched to encrypted communication. So 
don't be confused by this icon. 


Why do I get I/O errors when connecting via HTTPS to an 
Apache-*mod ssl server with Microsoft Internet Explorer 
(MSIE)? 


The first reason is that the SSL implementation in some MSIE versions has some subtle 
bugs related to the HTTP keep-alive facility and the SSL close notify alerts on socket 
connection close. Additionally the interaction between SSL and HTTP/1.1 features are 
problematic in some MSIE versions. You can work around these problems by forcing 
Apache not to use HTTP/1.1, keep-alive connections or send the SSL close notify messages 
to MSIE clients. This can be done by using the following directive in your SSL-aware virtual 
host section: 


SetEnvIf User-Agent ".*MSIE.*" \ 
nokeepalive ssl-unclean-shutdown \ 


downgrade-1.0 force-response-1.0 


Further, some MSIE versions have problems with particular ciphers. Unfortunately, it is not 
possible to implement a MSIE-specific workaround for this, because the ciphers are needed 
as early as the SSL handshake phase. So a MSIE-specific setenvif won't solve these 
problems. Instead, you will have to make more drastic adjustments to the global parameters. 
Before you decide to do this, make sure your clients really have problems. If not, do not 
make these changes - they will affect a// your clients, MSIE or otherwise. 


The next problem is that 56bit export versions of MSIE 5.x browsers have a broken SSLv3 
implementation, which interacts badly with OpenSSL versions greater than 0.9.4. You can 
accept this and require your clients to upgrade their browsers, you can downgrade to 
OpenSSL 0.9.4 (not advised), or you can work around this, accepting that your workaround 
will affect other browsers too: 


SSLProtocol all -SSLv3 


will completely disables the SSLv3 protocol and allow those browsers to work. A better 
workaround is to disable only those ciphers which cause trouble. 


SSLCipherSuite 
ALL: !ADH: **  EXPORT56* * : RC4+RSA: +HIGH: +MEDIUM: +LOW: +SSLv2:+EXP 


This also allows the broken MSIE versions to work, but only removes the newer 56bit TLS 
ciphers. 


Another problem with MSIE 5.x clients is that they refuse to connect to URLs of the form 
https://12.34.56.78/ (where IP-addresses are used instead of the hostname), if the server 
is using the Server Gated Cryptography (SGC) facility. This can only be avoided by using the 
fully qualified domain name (FQDN) of the website in hyperlinks instead, because MSIE 5.x 

has an error in the way it handles the SGC negotiation. 


And finally there are versions of MSIE which seem to require that an SSL session can be 
reused (a totally non standard-conforming behaviour, of course). Connecting with those 
MSIE versions only work if a SSL session cache is used. So, as a work-around, make sure 
you are using a session cache (see the ssLSessioncache directive). 


Why do get I/O errors, or the message "Netscape has 
encountered bad data from the server", when connecting 
via HTTPS to an Apache*mod ssl server with Netscape 
Navigator? 


This usually occurs when you have created a new server certificate for a given domain, but 
had previously told your browser to always accept the old server certificate. Once you clear 
the entry for the old certificate from your browser, everything should be fine. Netscape's SSL 
implementation is correct, so when you encounter I/O errors with Netscape Navigator it is 
usually caused by the configured certificates. 


mod ssl Support 


What information resources are available in case of mod ssl problems? 


What support contacts are available in case of mod ssl problems? 


What information should | provide when writing a bug report? 


| had a core dump, can you help me? 


How do | get a backtrace, to help find the reason for my core dump? 


What information resources are available in case of 
mod ssl problems? 


The following information resources are available. In case of problems you should search 
here first. 


Answers in the User Manual's F.A.Q. List (this) 


http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html First check the F.A.Q. (this text). If your 
problem is a common one, it may have been answered several times before, and been 
included in this doc. 


Postings from the modssl-users Support Mailing List http://www.modssl.org/support/ 


Search for your problem in the archives of the modssl-users mailing list. You're probably not 
the first person to have had this problem! 


What support contacts are available in case of mod ssl 
problems? 


The following lists all support possibilities for modss/, in order of preference. Please go 
through these possibilities in this order - don't just pick the one you like the look of. 


1. Send a Problem Report to the modssl-users Support Mailing List modssi- 
users@modssl.org This is the preferred way of submitting your problem report, because 
this way, others can see the problem, and learn from any answers. You must subscribe 
to the list first, but you can then easily discuss your problem with both the author and 
the whole mod ssl user community. 

2. Send a Problem Report to the Apache httpd Users Support Mailing List 
users@httpd.apache.org This is the second way of submitting your problem report. 
Again, you must subscribe to the list first, but you can then easily discuss your problem 
with the whole Apache httpd user community. 

3. Write a Problem Report in the Bug Database http://httpd.apache.org/bug report.html 
This is the last way of submitting your problem report. You should only do this if you've 
already posted to the mailing lists, and had no success. Please follow the instructions 
on the above page carefully. 


What information should | provide when writing a bug 
report? 


You should always provide at least the following information: 
Apache and OpenSSL version information 


The Apache version can be determined by running httpd -v . The OpenSSL version can be 
determined by running openssl version . Alternatively, if you have Lynx installed, you can 
run the command lynx -mime header http://localhost/ | grep Server to gather this 
information in a single step. 


The details on how you built and installed Apache+mod_ssl+OpenSSL 


For this you can provide a logfile of your terminal session which shows the configuration and 
install steps. If this is not possible, you should at least provide the configure command line 
you used. 


In case of core dumps please include a Backtrace 


If your Apache*mod ssl* OpenSSL dumps its core, please attach a stack-frame "backtrace" 
(see below for information on how to get this). Without this information, the reason for your 
core dump cannot be found 


A detailed description of your problem 


Don't laugh, we really mean it! Many problem reports don't include a description of what the 
actual problem is. Without this, it's very difficult for anyone to help you. So, it's in your own 
interest (you want the problem be solved, don't you?) to include as much detail as possible, 
please. Of course, you should still include all the essentials above too. 


| had a core dump, can you help me? 


In general no, at least not unless you provide more details about the code location where 


Apache dumped core. What is usually always required in order to help you is a backtrace 


(see next question). Without this information it is mostly impossible to find the problem and 


help you in fixing it. 


How do I get a backtrace, to help find the reason for my 
core dump? 


Following are the steps you will need to complete, to get a backtrace: 


1. 


Make sure you have debugging symbols available, at least in Apache. On platforms 
where you use GCC/GDB, you will have to build Apache*mod ssl with 

" oPTIM-"-g -ggdb3" "to get this. On other platforms at least" opTIM="-g" "is needed. 
Start the server and try to reproduce the core-dump. For this you may want to use a 
directive like " coreDumpDirectory /tmp "to make sure that the core-dump file can be 
written. This should result in a /tmp/core 或 /tmp/httpd.core file. If you don't get one of 
these, try running your server under a non-root UID. Many modern kernels do not allow 
a process to dump core after it has done a setuid() (unless it does an  exec() ) for 
security reasons (there can be privileged information left over in memory). If necessary, 
you canrun /path/to/httpd -x manually to force Apache to not fork. 

Analyze the core-dump. For this, run gdb /path/to/httpd /tmp/httpd.core Or a similar 
command. In GDB, all you have to do then is to enter bt , and voila, you get the 
backtrace. For other debuggers consult your local debugger manual. 


如 何 .…/ 指 南 
如 何 .…/ 指 南 


认证 


认证 (Authentication) 是 指 任何 识别 用 户 身份 的 过 程 。 授 权 (Authorization) 是 允许 特定 用 户 访问 
特定 区 域 或 信息 的 过 程 。 


参见 : 认证 、 授 权 、 访 问 控制 
CGI 动态 页 面 


CGI( 公 共 网 关 接 口 ) 定 义 了 web 服 务 器 与 外 部 内 容 生成 程序 之 间 交 互 的 方法 ， 通 常 是 指 CGI 程 
序 或 者 CGI 脚 本 ， 它 是 在 网 站 上 实现 动态 页 面 的 最 简单 和 常用 的 方法 。 本 文 料 对 如 何在 
Apache web 服 务 器 上 建立 CGI 以 及 如 何 编写 CGI 程序 进行 介绍 。 


参见 : CGI 动态 页 面 
.htaccess 文件 


.htaccess 文件 (或 者 "分 布 式 配置 文件 ") 提 供 了 针对 每 个 目录 改变 配置 的 方法 ， 即 在 一 个 特定 
的 目录 中 放置 一 个 包含 指令 的 文件 ， 其 中 的 指令 作用 于 此 目录 及 其 所 有 子 目 录 。 


See: .htaccess 文件 
服务 器 端 包含 


SSIBRAHTML 页 面 中 的 指令 ， 在 页 面 被 提供 时 由 服务 器 进行 运算 ， 以 对 现 有 HTML 5n mig 
加 动态 生成 的 内 容 ， 而 无 须 通过 CGI 程序 提供 其 整个 页 面 ， 或 者 使 用 其 他 动态 技术 。 


See: 服务 器 端 包含 (SS1) 


用 户 网 站 目录 
在 多 用 户 系统 中 ， 用 userpir 指令 可 以 允许 每 个 用 户 在 其 宿主 目录 中 拥有 一 个 网 络 站 点 。 使 


用 URL nttp://example.com/-username/ 的 访问 者 可 以 获得 用 户 " username "的 宿主 目录 中 的 内 
容 或 者 用 userbir 指定 的 子 目 录 中 的 内 容 。 


See: 用 户 网 站 目录 ( public_html ) 


认证 、 授 权 、 访 问 控制 


认证 (Authentication) 是 指 任何 识别 用 户 身份 的 过 程 。 授 权 (Authorization) 是 允许 特定 用 户 访问 
特定 区 域 或 信息 的 过 程 。 


相关 模块 和 指令 


认证 和 授权 涉及 到 三 组 模块 。 通 常 ， 你 需要 从 每 一 组 中 选择 至 少 一 个 模块 。 


e 认证 类 型 模块 (参见 AuthType 84) 
© mod auth basic 
Oo mod auth digest 
e 认证 支持 模块 
o mod authn alias 
o mod authn anon 
© mod authn dbd 
o mod authn dbm 
© mod authn default 
o mod authn file 
2 mod authnz ldap 
° 授权 支持 模块 (参见 Require 18) 
2 mod authnz ldap 
o mod authz dbm 
o mod authz default 
oO mod authz groupfile 
© mod authz owner 


Oo mod authz user 


mod authnz ldap 模块 既 包 含 认 证 功能 也 包含 授权 功能 。 mod authn alias 模块 自身 并 不 实现 
认证 功能 ， 但 是 允许 其 它 认证 支持 模块 以 更 灵活 的 方式 进行 配置 。 


mod authz host 模块 提供 基于 主机 名 、IP 地 址 、 请 求 特征 的 访问 控制 ， 但 并 不 属于 认证 支持 
系统 。 
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问 被 允许 的 资源 。 


本 文 涵盖 了 保护 站 点 资源 的 "标准 "方法 ， 大 多 数 管理 员 将 要 用 到 这 些 方 法 。 


先决 条 件 
本 文中 讨论 的 指 合 应 该 被 放 进 主 配置 文件 (通常 在 <Directory> 段 中 ) 或 者 针对 单个 目录 的 配置 
文件 ( ‘htaccess 文件 ) 中 。 


如 果 你 打算 使 用 .htaccess 文件 ， 则 必须 设置 服务 器 以 允许 在 这 些 文 件 中 使 用 认证 指令 ， 即 
用 ALlowoverride ES 旨 定 哪些 指令 在 针对 单个 目 录 的 配置 文件 中 有 效 。 


既然 本 文 讨论 认证 ， 就 应 该 对 AllowOverride 这 样 设置 : 


AllowOverride AuthConfig 


如 果 你 希望 把 这 些 指 倒 直 接 写 入 主 配置 文件 ， 当 然 就 需要 具有 对 主 配置 文件 的 写 权 限 。 


而 且 ， 你 需要 对 服务 器 的 目录 结构 有 所 了 解 ， 以 确定 某 些 文件 的 位 置 。 这 个 并 不 难 ， 需 要 时 
我 们 会 做 适当 的 说 明 。 


启用 认证 
先 介绍 用 密码 来 保护 服务 器 上 的 目录 。 


首先 需要 建立 一 个 密码 文件 。 这 个 文件 应 该 放 在 不 能 被 网 络 访问 的 位 置 ， 以 避免 被 下 载 。 例 
如 ， 如 果 /usr/local/apache/htdocs 以 外 的 空间 不 能 被 网 络 访问 ， 那 么 可 以 考虑 把 密码 文件 放 
在 /usr/local/apache/passwd 目录 中 。 


Apache 在 其 安装 目 录 的 bin +E 录 中 提供 了 htpasswd IA, 用 于 建立 密码 文件 ， 可 以 这 样 
使 用 : 


htpasswd -c /usr/local/apache/passwd/passwords rbowen 


htpasswd 会 要 你 输入 密码 ， 并 要 求 重 新 输入 以 进行 确认 : 


# htpasswd -c /usr/local/apache/passwd/passwords rbowen 
New password: mypassword 
Re-type new password: mypassword 


Adding password for user rbowen 


如 果 htpasswd 不 在 搜索 路 径 中 ， 则 必须 使 用 完整 路 径 ， 如 : /usr/local/apache/bin/htpasswd 


然后 修改 httpd.conf 或 .htaccess 文件 ， 指 示 服 务 器 允许 哪些 用 户 访问 并 向 用 户 索 取 密 码 。 
若 要 保护 /usr/local/apache/htdocs/secret 目录 ， 则 可 以 将 下 列 指使 写 

入 /usr/local/apache/htdocs/secret/.htaccess 或 者 httpd.conf 的 <Directory 
lusr/local/apache/apache/htdocs/secret» Et, 


AuthType Basic 
AuthName "Restricted Files" 
AuthUserFile /usr/local/apache/passwd/passwords 


Require user rbowen 


让 我 们 逐个 解释 这 些 指 令 。 AuthType 指令 选择 对 用 户 实施 认证 的 方法 ， 最 常用 的 是 

由 mod auth basic 提供 的 Basic 。 必 须 认 识 到 的 很 重要 的 一 点 是 ，Basic 认 证 方法 并 不 加 密 
来 自用 户 浏览 器 的 密码 ， 因 此 ， 不 应 该 用 于 高 度 敏 感 的 数据 。Apache 中 还 有 另 一 种 更 安全 的 
认证 方法 " AuthType Digest "， 即 由 mod auth digest 供 的 摘要 认证 。 目 前 ， 只 有 最 新 的 浏览 
器 版 本 才 支 持 摘要 认证 。 


AuthName 指 合 设置 了 使 用 认证 的 <dfn class="calibre27"> 域 (Realm)</dfn>， 它 起 两 个 作用 ， 
首先 ， 此 域 会 出 现在 显示 给 用 户 的 密码 提问 对 话 框 中 ， 其 次 ， 也 帮助 客 户 端 程序 确定 应 该 发 
送 哪个 密码 。 


所 以 ， 如 果 一 个 用 户 已 经 在 "Restricted Files" 域 通过 了 认证 ， 则 客户 端 就 可 以 党 试 使 用 同 
样 的 密码 来 访问 同一 个 服务 器 上 任何 名 为 "Restricted Files" 域 的 其 他 部 分 ， 从 而 使 多 个 受 
限 区 域 使 用 同一 个 密码 ， 以 避免 用 户 重复 输入 。 当 然 ， 出 于 安全 考虑 ， 如 果 服 务 器 变 了 ， 客 
户 端 始终 会 要 求 重新 输入 密码 。 


AuthUserFile 指令 设置 了 密码 文件 的 位 置 ， 也 就 是 刚才 我 们 用 htpasswd 建立 的 文件 。 如 果 用 
户 很 多 则 认证 速度 会 很 慢 ， 因 为 对 每 个 请 求 都 必须 搜索 这 个 纯 文本 文件 ， 对 此 ，Apache 还 支 
持 把 用 户 信 息 存 入 快速 的 数据 库 文件 ， mod_authn_dbm 模块 提供 了 AuthDBMUserFile HES, 并 
可 以 用 dbmmanage 程序 建立 和 操作 这 些 数据 库 。Apache 模 块 数据 库 中 还 提供 了 许多 其 他 第 三 
方 模块 提供 的 认证 选项 。 


最 后 ， Require 指令 设置 了 允许 访问 受 保 护 区 域 的 用 户 ， 下 一 节 将 对 Require 指 合作 详细 说 
明 。 


PNE T 
人 允许 多 人 访问 

上 述 指 邻 只 允许 一 个 人 (一 个 叫 rbowen 的 用 户 ) 访 问 这 个 目录 ， 但 是 多 数 情 况 下 ， 都 需要 人 允许 
多 人 访问 ， 所 以 就 要 用 到 authcrouprile #83. 


如 果 想 允许 多 人 访问 ， 那 么 就 必须 建立 一 个 组 文件 以 确定 组 中 的 用 户 。 其 格式 很 简单 ， 可 以 
用 你 喜欢 的 编辑 器 建立 ， 例 如 : 


GroupName: rbowen dpitts sungo rshersey 


它 只 是 每 组 一 行 的 一 个 用 空格 分 隔 的 组 成 员 列 表 。 


向 已 有 的 密码 文件 中 增加 一 个 用 户 ， 可 以 输入 : 


htpasswd /usr/local/apache/passwd/passwords dpitts 


程序 的 提示 和 上 面 的 一 样 ， 但 是 它 会 追加 到 已 有 的 文件 中 ， 而 不 是 建 一 个 新 文件 (参数 -c 可 
以 强制 建立 新 的 密码 文件 )。 


现在 ， 需 要 将 .htaccess 文件 修改 成 这 样 : 


AuthType Basic 

AuthName "By Invitation Only" 

AuthUserFile /usr/local/apache/passwd/passwords 
AuthGroupFile /usr/local/apache/passwd/groups 


Require group GroupName 


现在 ， GroupName 组 中 的 成 员 都 在 password 文件 中 有 一 个 相应 的 记录 ， 从 而 允许 他 们 输入 正 
确 的 密码 进行 访问 。 


除了 建立 组 文件 ， 还 有 另 一 种 途径 允许 多 人 访问 ， 就 是 使 用 如 下 指令 : 


Require valid-user 


AERES, MAE Require user rbowen ， 可 以 允许 密码 文件 中 的 所 有 用 户 使 用 正确 的 
密码 进行 访问 。 通 过 为 每 个 组 建立 一 个 密码 文件 ， 这 里 甚至 允许 列举 各 个 组 ， 其 优点 是 
Apache 只 需要 检查 一 个 文件 (而 不 是 两 个 )， 其 缺点 是 ， 必 须 维 护 众多 密码 文件 ， 而 且 要 确 
保 AuthuserFile 指定 了 一 个 正确 的 密码 文件 。 


可 能 存在 的 问题 


由 于 采用 了 Basic 认 证 的 方法 ， 每 次 向 服务 器 请 求 甚至 刷新 一 个 受 保护 的 页 面 或 图 片 时 都 必须 
校 验 用 户 名 和 密码 ， 为 此 ， 必 须 打开 密码 文件 并 逐 行 搜索 用 户 名 ， 因 此 ， 服 务 器 响应 速度 会 
受 一 些 影响 ， 受 影响 的 程度 与 密码 文件 的 大 小 成 正比 。 


所 以 ， 对 密码 文件 中 的 用 户 总 数 存在 一 个 实际 上 的 上 限 ， 此 上 限 取决 于 特定 的 服务 器 机 器 的 
性 能 ， 但 是 一 般 有 几 百 个 用 户 就 会 对 响应 速度 有 非常 明显 的 影响 ， 在 这 种 情况 下 ， 可 以 考虑 
用 其 他 认证 方法 。 


其 他 认证 方法 
基于 用 户 名 和 密码 的 认证 只 是 方法 之 一 ， 时 常会 有 不 需要 知道 来 访 者 是 谁 ， 只 需要 知道 来 自 
哪里 的 情况 。 


Allow 和 peny 指使 可 以 允许 或 拒绝 来 自 特定 主机 名 或 主机 地 址 的 访问 ， 同 时 ， order BD 
告诉 Apache 处 理 这 两 个 指使 的 顺序 ， 以 改变 过 滤器 。 


这 些 指令 的 用 法 : 
Allow from «var class="calibre40">address</var> 
address 可 以 是 一 个 IP 地 址 (或 者 IP 地 址 的 一 部 分 )， 也 可 以 是 一 个 完整 的 域名 (或 者 域名 的 一 部 
分 )， 还 可 以 同时 指定 多 个 IP 地 址 和 域名 。 
比如 ， 要 拒绝 不 受 欢 迎 的 兜售 垃圾 的 站 点 : 
Deny from 205.252.46.165 
这 样 ， 这 个 指令 所 管辖 的 区 域 将 拒绝 所 有 来 自 该 地 址 的 访问 。 除 了 指定 IP 地 址 ， 也 可 以 指定 
RZ, A: 


Deny from «var class="calibre40">host.example.com</var> 


另外 ， 还 可 以 指定 地 址 或 域名 的 一 部 分 来 阻止 一 个 群体 : 


Deny from «var class="calibre40">192.101.205</var> 
Deny from «var class="calibre40">cyberthugs.com</var> «var class="calibre40">moreid 


Deny from ke 
SS = g 


order 可 以 组 合 Deny 和 Allow 指令 ， 以 保证 在 允许 一 个 群体 访问 的 同时 ， 对 其 中 的 一 些 又 
加 以 限制 : 





Order deny,allow 
Deny from all 


Allow from «var class="calibre40">dev.example.com</var> 


只 列 出 Allow 指 今 不 会 得 到 你 想 要 的 结果 ， 因 为 它 在 允许 指定 对 象 访问 的 同时 并 不 茶 止 其 他 
未 列 出 的 对 象 的 访问 。 所 以 上 例 使 用 的 方法 是 : 首先 拒绝 任何 人 ， 然 后 允许 来 自 特定 主机 的 
访问 。 


更 多 信息 


mod auth basic 和 mod_authz_host 文档 中 有 更 多 的 有 关 资 料 。 mod_authn_alias 同样 有 助 于 
简化 认证 配置 。 


CGI 动态 页 向 


相关 模块 


* mod alias 


* mod_cgi 
WAT 


@  AddHandler 
* Options 


e ScriptAlias 


CGI( 公 共 网 关 接 口 ) 定 义 了 web 服 务 器 与 外 部 内 容 生 成 程序 之 间 交 互 的 方法 ， 通 常 是 指 CGI 程 
序 或 者 CGI 脚 本 ， 它 是 在 网 站 上 实现 动态 页 面 的 最 简单 和 常用 的 方法 。 本 文 将 对 如 何在 
Apache web 服 务 器 上 建立 CGI 以 及 如 何 编写 CGI 程序 进行 介绍 。 


配置 Apache 以 允许 CGI 


要 让 CGI 程序 能 正常 运作 ， 必 须 配 置 Apache 以 允许 CGI 的 执行 ， 其 方法 有 多 种 。 


ScriptAlias 


ScriptAlias 184 Apache ti 4.1 — MMSE Hx 中 的 CGI 程序 。 当 客 Je 端 请 求 此 特定 目录 
中 的 资源 时 ，Apache 假 定 其 中 所 有 的 文件 都 是 CGI 程序 并 试图 运行 它 。 


ScriptAlias 指 倒 形 如 : 


ScriptAlias /cgi-bin/ /usr/local/apache2/cgi-bin/ 


如 果 Apache 被 安装 到 默认 位 置 ， 默 认 的 配置 文件 httpd,conf 中 就 会 有 上 述 配 

iB. ScriptAlias 与 Alias 指令 非常 相似 ， 都 是 定义 了 映射 到 一 个 特定 目录 的 URL 前 级 ， 两 
者 一 般 都 用 于 指定 位 于 DocumentRoot 以 外 的 目录 ， 其 不 同 之 处 是 ScriptAlias 又 多 了 一 层 含 
义 ， 即 URL 前 级 后 面 的 任何 文件 都 被 视 为 CGI 程序 。 所 以 ， 上 述 例子 会 指示 Apache : 任何 
以 /cgi-bin/ 开头 的 资源 都 将 映射 到 /usr/local/apache2/cgi-bin/ 目录 中 ， 且 视 之 为 CGI 程 
序 。 


例如 ， 如 果 有 URL 为 http://www.example.com/cgi-bin/test.pl 的 请 求 ， Apache 会 试图 执 

11 /usr/local/apache2/cgi-bin/test.pl 文件 并 返回 其 输出 。 当然 ， 这 个 文件 必须 存在 而 且 可 
执行 ， 并 以 特定 的 方法 产生 输出 ， 否 则 Apache 返 回 一 个 出 错 消息 。 

ScriptAlias 目 录 以 外 的 CGI 


由 于 安全 原因 ，CGI 程 序 通常 被 限制 在 scriptAlias 指定 的 目录 中 ， 这 样 ， 管 理 员 就 可 以 严格 
控制 谁 可 以 使 用 CGI 程序 。 但 是 ， 如 果 采 取 了 恰当 的 安全 措施 ， 则 没有 理由 不 允许 其 他 目录 中 
的 CGI 程序 运行 。 比 如 ， 你 可 能 希望 用 户 在 userpir 指定 的 宿主 目录 中 存放 页 面 ， 而 他 们 有 自 
己 的 CGI 程序 ， 但 无 权 访问 cgi-bin 目录 ， 这 祥 ， 就 产生 了 运行 其 他 目录 中 CGI 程序 的 需求 。 


允许 CGI 在 任意 目 录 执 行 需要 两 个 步骤 : 第 一 步 ， 必须 用 AddHandler 或 SetHandler JE 
活 cgi-script 义理 器 。 第 二 步 ， 必 须 在 options 指令 中 启用 Execcer 选项 。 


用 Options 显 式 地 允许 CGI 的 执行 
可 以 在 主 配置 文件 中 ， 使 用 options 指令 显 式 地 允许 特定 目录 中 CGI 的 执行 : 
«Directory /usr/local/apache2/htdocs/somedir> 


Options +ExecCGI 
</Directory> 


上 述 指 合 使 Apache 人 允许 CGI 文 件 的 执行 。 另 外 ， 还 必须 告诉 服务 器 哪些 文件 是 CGI 文 件 。 下 
面 的 AddHandler 指令 告诉 服务 器 所 有 带 有 cgi 或 pl 后 级 的 文件 是 CGI 程 序 : 


AddHandler cgi-script .cgi .pl 


.htaccess 文 件 


.htaccess 指南 示范 了 怎样 在 没有 权限 修改 httpd.conf 文件 的 情况 下 激活 CGI 程序 。 


APES 
为 了 允许 用 户 目 录 中 所 有 以 " ,cgi "结尾 的 文件 作为 CGI 程序 执行 ， 你 可 以 使 用 以 下 配置 : 
«Directory /home/*/public html» 


Options +ExecCGI 


AddHandler cgi-script .cgi 
</Directory> 


如 果 你 想 在 用 户 目 录 中 指定 一 个 cgi-bin 子 目录 ， 其 中 所 有 的 文件 都 被 当 作 CGI 程序 ， 你 可 以 
i BUB : 


<Directory /home/*/public html/cgi-bin» 
Options ExecCGI 


SetHandler cgi-script 
«/Directory» 


编写 CGI 程序 
编写 CGI 程序 和 "常规 "程序 之 间 有 两 个 主要 的 不 同 。 


首先 ， 在 CGI 程 序 的 所 有 输出 前 面 必须 有 一 个 HTTP 的 MIME 类 型 的 头 ， 对 客户 端 指明 所 接收 
内 容 的 类 型 ， 大 多 数 情 况 下 ， 像 这 样 : 


Content-type: text/html 
其 次 ， 输 出 要 求 是 HTML 形 式 的 ， 或 者 是 浏览 器 可 以 显示 的 其 他 某 种 形式 。 多 数 情 况 下 ， 输 出 
是 HTML 形 式 的 ， 但 偶然 也 会 输出 一 个 gif 图 片 或 者 其 他 非 HTML 的 内 容 。 


除了 这 两 点 ， 编 写 CGI 程 序 和 编写 其 他 程序 大 致 相同 。 


第 一 个 CGI 程序 


这 个 CGI 程序 的 例子 在 浏览 器 中 打印 一 行文 字 。 把 下 列 存 为 first.pl 文件 ， 并 放 在 你 
的 cgi-bin 目录 中 。 


#!/usr/bin/perl 
print "Content-type: text/html\n\n"; 


print "Hello, World."; 


即使 不 熟悉 Penl 语 言 ， 你 也 应 该 能 看 出 它 干 了 什么 。 第 一 行 ， 告 诉 Apache 这 个 文件 可 以 

用 /;usr/bin/peri (或 者 任何 你 正在 使 用 的 shell) 解 释 并 执行 。 第 二 行 ， 打 印 上 述 要 求 的 内 容 类 
型 说 明 ， 并 带 有 两 个 换行 ， 在 头 后 面 留 出 空 行 ， 以 示 HTTP 头 的 结束 。 第 三 行 ， 打 印 文 

字 "Hello, World."。 程 序 到 此 结束 。 


打开 你 喜欢 的 浏览 器 并 输入 地 址 : 


http://www.example.com/cgi-bin/first.pl 


或 者 是 你 存放 程序 的 其 他 位 置 ， 就 可 以 在 浏览 器 窗口 中 看 到 一 行 : Hello, world. o BAH 
不 怎么 激动 人 心 ， 但 是 一 旦 这 个 程序 能 正常 运行 ， 那 么 就 可 能 运行 其 他 任何 程序 。 


Š bE. vv 一 
程序 还 是 不 能 运行 |! 

使 用 浏览 器 从 网 络 访问 CGI 程序 ， 可 能 会 发 生 四 种 情况 : 
CGI 程序 的 输出 


太 好 了 ! 这 说 明 一 切 正常 。 如 果 输 出 正常 但 是 浏览 器 处 理 出 错 ， 请 确认 你 在 CGI 程序 中 使 用 了 
正确 的 Content-Type o 


CGI 程序 的 源 代码 或 者 一 个 "POST Method Not Allowed" f. 

这 说 明 Apache 没 有 被 正确 配置 以 执行 CGI 程序 ， 重 新 阅读 配置 Apache 看 看 遗漏 了 什么 。 
一 个 以 "Forbidden" 开 头 的 消息 

这 说 明 有 权限 问题 。 参 考 Apache 错 误 日 志和 下 面 的 文件 权限 。 

一 个 "Internal Server Error" 消 息 

查阅 Apache 错 误 日 志 ， 可 以 找到 CGI 程序 产生 的 出 错 消息 "Premature end of script 


headers"。 对 此 ， 需 要 检查 下 列 各 项 ， 以 找 出 不 能 产生 正确 HTTP 头 的 原因 。 


文件 的 权限 


记 住 ， 服 务 器 不 是 以 你 的 用 户 身份 运行 的 ， 在 服务 器 启动 后 ， 拥 有 的 是 一 个 非特 权 用 户 的 权 
限 ( 通 常 是 nobody 或 www ) 而 需要 更 大 的 权限 以 允许 文件 的 执行 。 通 常 ， 给 予 nobody 足够 的 
权限 以 执行 文件 的 方法 是 ， 对 文件 赋予 任何 人 此 可 执行 的 权限 : 


chmod a+x first.pl 
另外 ， 如 果 需 要 对 其 他 文件 进行 读 取 或 写 人 和信， 也 必须 对 这 些 文件 赋予 正确 的 权限 。 


路 径 信 息 和 环境 变量 


当 你 在 命令 行 执 行 一 个 程序 ， 某 些 信息 会 自动 传 给 shell 而 无 须 你 操心 ， 比 如 PATH ， 告 诉 
shell 你 所 引用 的 文件 可 以 在 哪儿 找到 。 


但 是 ， 在 CGI 程序 通过 web 服 务 器 执行 时 ， 则 没有 此 PATH ， 所 以 ， 你 在 CGI 程序 中 引用 的 任 
何 程序 (如 sendmail ) 都 必须 指定 其 完整 的 路 径 ， 使 shell 能 找到 它们 以 执行 你 的 CGI 程序 。 


一 种 普通 的 用 法 是 ， 在 CGI 程序 的 第 一 行 中 指明 解释 器 (通常 是 perl )， 形 如 : 


#!/usr/bin/perl 


必须 保证 它 的 确 指向 解释 器 。 


另外 ， 如 果 CGI 程 序 依赖 于 某 些 环境 变量 ， 你 要 确保 所 需要 的 变量 已 经 正确 的 由 Apache 进 行 
了 传递 。 


程序 错 25 tk 


多 数 CGI 程 序 失 败 的 原因 在 于 程序 本 身 有 问题 ， 尤 其 是 在 已 经 消除 上 述 两 种 错误 而 CGI 挂 起 的 
情况 下 。 在 用 浏览 器 测试 以 前 ， 先 在 命令 行 中 执行 你 的 程序 ， 能 够 发 现 大 多 数 的 问题 。 比 
ap : 


cd /usr/local/apache2/cgi-bin 


./first.pl 


(不 要 调用 peri 解释 程序 ， 因 为 shell 和 Apache 会 根据 脚本 第 一 行 的 路 径 信息 找到 解释 器 ) 


你 最 先 看 到 的 输出 内 容 应 当 是 一 组 HTTP 头 ， 包 括 content-Type 和 结尾 的 空 行 。 如 果 你 看 到 了 
别 的 什么 东西 ， 那 么 当 你 在 服务 器 上 试 运行 时 ，Apache 会 返回 
Premature end of script headers 错误 。 参 见 上 面 的 编写 CGI 程序 以 获得 更 多 信息 。 


错误 日 志 


错误 日 志 是 你 的 朋友 。 任 何 错误 都 会 在 错误 日 志 中 有 所 记载 ， AME 如 果 
你 的 网 站 空间 提供 者 不 允许 访问 错误 日 志 ， 那 么 你 应 该 考虑 换 一 个 空间 提供 者 。 学 会 阅读 错 
误 日 志 ， 可 以 快速 找 出 问题 并 快速 解决 。 


Suexec 


suexec 人 允许 CG| 程 序 根据 其 所 在 虚拟 主机 或 用 户 宿主 目录 的 不 同 而 以 不 同 的 用 户 权 限 运 行 。 
suexec 有 极其 严格 的 权限 校 验 ， 任 何 校 验 失 败 都 会 使 CGI 程序 遭遇 


Premature end of script headers a 误 。 


为 了 检查 你 是 否 使 用 了 suexec ， 运 行 apachectl -v 并 检查 suEXEC_BIN 的 位 置 。 如 果 
Apache 在 启动 时 发 现 suexec 二 进 制 文件 正 存在 于 此 ， 那 么 suexec 将 会 被 激活 。 


除非 你 很 精通 suexec， 否 则 请 不 要 使 用 它 。 要 禁用 它 ， 只 要 删 E CUM IER) SUEXEC_BIN 所 指 
定位 置 的 suexec 二 进 制 文件 并 重启 服务 器 就 可 以 了 。 如 果 你 又 想 包 用 它 ， 请 首先 阅读 suexec 
文档 以 详细 了 解 其 运行 机 制 ， 然 后 运行 suexec -v Pe 并 使 用 该 日 志 
文件 找到 你 违反 了 哪 条 判断 规则 。 


幕后 后 是 怎样 操 EVERY? 


当 你 的 CGI 编程 逐渐 深入 ， 理 解 幕后 的 操作 (尤其 是 浏览 器 和 服务 器 之 间 是 如 何 通讯 的 ) 就 变 得 
很 有 用 了 。 因 为 虽然 成 功 地 写 了 一 个 程序 打印 "Hello, World"， 但 并 没有 实际 的 用 处。 


环境 变量 
环境 变量 是 使 用 计算 机 时 到 多 都 会 用 到 的 变量 ， 上 比如 路 径 ( 对 实际 文件 的 一 个 搜索 路 笃 以 补 全 


你 的 输入 )、 你 的 用 户 名 以 及 你 的 终端 类 型 等 等 。 在 命令 行 输入 env ， 可 以 得 到 当天 标准 的 
环境 变量 列表 。 


在 CGI 久 理 过 程 中 ， 服 务 器 和 浏览 器 都 会 设置 环境 变量 ， 比 如 浏览 器 类 型 (Netscape、IE、 
Lynx)、 服 务 器 类 型 (Apache、IIS、WebsSite) 以 及 将 要 执行 的 CGI 程序 名 称 等 等 。 


所 有 这 些 变 量 对 CGI 程序 员 都 有 效 ， 但 只 是 客户 端 -服务 器 通讯 的 一 半 内 容 。 完 整 的 变量 列表 
Æ Whttp://hoohoo.ncsa.uiuc.edu/cgi/env.html 


这 个 简单 的 CGI 程序 列 出 了 所 有 的 环境 变量 ，Apache 发 行 版 的 cgi-bin 目录 中 还 有 一 个 类 似 
的 程序 。 注 意 ， 有 些 变量 是 必须 的 ， 有 些 则 是 可 选 的 ， 所 以 你 可 能 会 看 见 一 些 官方 列表 中 没 
有 的 变量 。 另 外 ，Apache 有 多 种 方法 可 以 在 默认 提供 的 变量 之 外 增加 你 的 专用 环境 变量 。 


#!/usr/bin/perl 
print "Content-type: text/html\n\n"; 
foreach $key (keys %ENV) { 


print "$key --> $ENV{$key}<br>"; 
} 


STDIN 和 STDOUT 


服务 器 和 客户 端 之 间 的 其 他 通讯 都 通过 标准 输入 设备 ( sTDIN ) 和 标准 输出 设备 ( sTDOUT ) 完 
成 。 通 常 ， sTDIN 是 指 键 瘟 或 者 一 个 程序 所 作用 的 一 个 文件 ， sTpouT 指控 制 台 或 显示 器 。 


当 你 post 一 个 网 络 表 格 到 一 个 CGI 程序 时 ， 表 格 中 的 数据 被 捆扎 为 一 个 特殊 形式 通 
过 STDIN 传送 给 CGI 程序 ， 这 样 ， 这 个 程序 就 可 以 处 理 这 些 数 据 ， 仿 佛 这 些 数 据 是 来 自 键盘 或 
者 一 个 文件 。 


这 种 "特殊 形式 "很 简单 ， 一 个 字段 名 称 及 其 值 ， 中 间 用 等 号 (=) 连 接 ， 多 个 这 样 的 字段 对 用 和 与 
符号 (&) 连 接 。 非 常规 字符 ， 如 空格 、"&" 号 和 "=" 号 ， 被 转换 为 其 等 值 的 十 六 进 制 以 免 出 问 
题 。 整 个 字符 串 形 如 : 


name=Rich%20Bowen&city=Lexington&state=KY&sidekick=Squirrel%20Monkey 


有 时 ， 你 会 发 现 URL 后 面 也 会 带 有 这 样 的 字符 串 。 这 种 形式 会 使 服务 器 以 这 个 字符 串 的 内 容 
设置 环境 变量 QUERY_STRING ， 称 为 GET 请 求 。 你 的 HTML 表 格 在 Form 标签 中 设置 METHop [ER 
性 ， 以 指定 传送 数据 的 动作 使 用 cet 或 POST o 


你 的 程序 必须 把 这 个 字符 串 分 解 以 获得 有 用 信息 。 所 幸 ， 有 上 库 和 模块 可 以 帮助 你 义理 这 些 数 
据 ， 还 有 为 你 的 CGI 程 序 达 成 其 他 目的 的 处 理 器 。 


CGI 模块 / 库 


编写 CGI 程序 时 ， 你 应 该 考虑 使 用 代码 库 或 模块 来 完成 大 多 数 琐碎 的 工作 ， 以 减少 错误 并 更 快 
地 开发 。 

如 果 用 Penl 语 言 编 写 CGI 程 序 ， 可 用 的 模块 见 CPAN ， 最 常用 的 模块 是 cGT.pm 。 也 可 以 考虑 
用 ceI::Lite ， 它 实现 了 一 个 在 多 数 程序 中 所 有 必须 的 最 小 功能 


如 果 用 C 语 言 编写 CGI 程序 ， 则 有 很 多 选择 ， 其 中 之 一 是 cerc 库 ， 来 自 
http://www.boutell.com/cgic/ 


更 多 信息 


网 上 有 大 量 的 CGI 资源 。 可 以 在 Usenet 组 comp.infosystems.www.authoring.cgi 和 别人 讨论 
CGI 相关 问题 。HTML Writers Guild 的 邮件 列表 是 一 个 优秀 的 问题 解答 资源 。 更 多 资源 
f£http://www.hwg.org/lists/hwg-servers/ 


另外 ， 还 可 以 阅读 CGI 规范 ， 其 中 有 CGI 程序 操作 的 所 有 细节 ， 原 始 版 本 见 NCSA ， 另 有 一 个 
更 新 草案 见 Common Gateway Interface RFC project 


当 你 向 一 个 邮件 列表 或 者 新 闻 组 提交 CGI 相关 问题 时 ， 你 应 该 确保 提供 了 足够 的 信息 以 更 容易 
地 发 现 并 解决 问题 ， 诸 如 : 发 生 了 什么 事 、 你 希望 得 到 什么 结果 、 结 果 与 你 所 期 望 的 有 什么 
出 人 、 你 运行 的 服务 器 、CGI 程 序 是 用 什么 语言 编写 的 、 如 果 可 能 就 提供 那个 讨厌 的 代码 。 


注意 ， 不 要 把 CGI 相关 问题 提交 到 Apache bug 数 据 库 ， 除 非 你 坚信 发 现 的 是 Apache 源 代码 中 
的 问 题 。 


ARs Zam ERAT] 


服务 器 端 包 含 提供 了 一 种 对 现 有 HTML 文 档 增 加 动态 内 容 的 方法 。 


简介 
相关 模块 


* mod include 
* mod_cgi 


* mod expires 
WAT 


* Options 

e XBitHack 

e  AddType 

*  SetOutputFilter 


*  BrowserMatchNoCase 


本 文 针 对 服务 器 端 包含 (SSND) 讨 论 如何 配 置 服务 器 以 允许 SSI ， 并 介绍 一 些 对 现 有 HTML 页面 增 
加 动态 内 容 的 基本 SSI 技 术 。 


本 文 后 部 将 讨论 用 SSI 做 一 些 稍微 高 级 的 事情 ， 比 如 SSI 指 邻 中 的 条 件 语 句 。 


什么 是 SSI ? 


SSIBRAHTML 页 面 中 的 指令 ， 在 页 面 被 提供 时 由 服务 器 进行 运算 ， 以 对 现 有 HTML 页 面 增 
加 动态 生成 的 内 容 ， 而 无 须 通过 CGI 程序 提供 其 整个 页 面 ， 或 者 使 用 其 他 动态 技术 。 


至 于 什么 时 候 应 当 用 SSI ， 而 什么 时 候 应 当 用 某 些 程序 生成 整个 页 面 ， 取 决 于 页 面 中 有 多 少 内 
容 是 静态 的 ， 又 有 多 少 内 容 需 要 在 每 次 页 面 被 提供 时 重新 计算 。SSI 是 一 种 增加 小 段 动态 信息 
的 好 方法 ， 比 如 当前 时 间 。 如 果 你 的 页 面 大 部 分 内 容 是 在 被 提供 时 动态 生成 的 ， 那 就 要 另 找 
方案 了 。 


Reo iB AR gar LAISSI 
要 使 服务 器 允许 SSI , 必须 在 httpd.conf 或 .htaccess 文件 中 有 如 下 配置 : 


Options +Includes 


这 样 就 告诉 服务 器 允许 解析 文件 中 的 SSI 指 令 。 注 意 ， 在 多 数 配置 中 ， 多 个 options 指令 会 
相 覆 盖 ， 所 以 可 能 需要 对 使 用 SSI 的 目录 专门 使 用 一 个 options 指令 ， 以 确保 其 有 效 。 


并 非 所 有 文件 中 的 SSI 指 今 都 会 被 解析 ， 必 须 告 诉 Apache 应 该 解析 哪些 文件 。 有 两 种 方法 使 
Apache 解 析 带 有 特定 后 级 名 的 文件 ， 比 如 : .shtm ， 配 置 如 下 : 


AddType text/html .shtml 


AddOutputFilter INCLUDES .shtml 
该 方法 的 缺点 之 一 是 ， 为 了 使 文件 具有 ,shtml 后 级 从 而 执行 其 中 的 指令， 需要 加 入 SSI 指 邻 
的 现 有 文件 的 名 字 ， 以 及 所 有 指向 此 页 面 的 连接 。 
另 一 种 方法 是 ， 使 用 xBithack 指 今 : 


XBitHack on 


xBitHack &rApachefEdTHI iB T ATMA SCH ASSIE D. s, BREA, 
只 要 用 chmod 使 文件 变 成 可 执行 的 ， 就 可 以 对 现 有 页 面 增加 SSI 指 倒 。 


chmod +x pagename.html 


这 里 简要 说 明 一 点 : 偶然 会 有 人 向 你 推荐 ， 无 须 用 带 .shtml 的 文件 名 ， 只 要 使 Apache 解 析 
所 有 .html 文件 的 SSI 就 可 以 了 。 那 些 人 可 能 没 听 说 过 xBitHack 。 要 知道 ， 这 样 做 会 使 
Apache 在 发 送 文件 到 客户 端 之 前 通读 此 文件 ， 即 使 其 中 并 没有 任何 SSI 指 令 ， 从 而 对 速度 有 
很 不 利 的 影响 ， 所 以 这 并 不 是 好 办 法 。 


当然 ， 在 Windows 上 ， 没 有 对 应 的 执行 位 可 以 设置 ， 所 以 对 你 的 配置 方法 就 有 一 些 限 制 。 


在 默认 配置 的 情况 下 ，Apache 不 会 为 SSI 页 面 发 送 最 后 修改 日 期 或 者 内 容 长 度 的 HTTP 头 ， 
为 这 些 值 对 动态 页 面 来 说 难以 确定 。 这 样 会 阻止 页 面 被 缓冲 ， 导 致 客户 端 性 能 有 明显 的 下 
降 。 有 两 种 解决 方法 : 


1. 设置 xBitHack Full ， 告 诉 Apache 在 判断 最 后 修改 日 期 时 ， 只 查看 被 请 求 文 件 本 身 的 日 
期 ， 而 忽略 其 中 包含 的 其 它 文件 的 修改 日 期 。 

2. 使 用 mod expires 提供 的 指 今 为 文件 设置 一 个 明确 的 过 期 时 间 ， 并 告诉 浏览 器 和 代理 这 个 
文件 可 以 被 缓冲 。 


基本 SSI 指 今 
SSI 指 仿 有 如 下 语法 : 


<!--#element attribute-value attribute-value ... --> 


类 似 于 HTML 注 释 ， 即 使 没有 正确 配置 SSI ， 它 也 不 会 被 浏览 器 显示 ， 但 在 HTML 代 码 中 可 
见 。 而 若 正确 配置 了 SSI ， 则 指令 会 被 其 结果 所 取代 。 


其 中 的 元 素 可 以 有 许多 ， 我 们 会 在 下 一 个 版 本 的 文档 中 讨论 其 中 的 大 多 数 ， 而 在 这 里 ， 仅 举 
几 个 SSI 的 例子 。 


今天 的 日 期 


<!--#echo varz"DATE LOCAL" --> 


echo 元 素 用 于 显示 一 个 变量 的 值 。 标 准 变量 有 很 多 ， 其 中 包含 对 CGI 程序 有 效 的 所 有 环境 变 
量 。 并 且 还 可 以 用 set 元 素 定 义 你 自己 的 专用 变量 。 


如 果 你 不 喜欢 这 种 日 期 格式 ， 可 以 用 config 元 素 的 timefmt 属性 ， 改变 其 格式 。 


<!--#config timefmt="%A %B %d, %Y" --> 


Today is <!--#echo var="DATE_LOCAL" --> 


文件 的 修改 日 期 


This document last modified <!--#flastmod file="index.html" --> 
这 个 元 素 使 用 timefmt 的 格式 配置 。 
a 
包含 一 个 CGI 程 序 的 输出 结 


这 也 是 SSI 很 常见 的 一 个 用 途 : 包含 一 个 CGI 程序 的 输出 ， 比 如 人 人 喜欢 的 "点 击 计数 器 "。 


<!--#include virtual-"/cgi-bin/counter.pl" --> 


附加 的 例子 
以 下 是 一 些 在 HTML 中 使 用 SSI 的 特殊 例子 。 


文档 是 什么 时 候 航 修改 的 ? 


前 面 我 们 提 到 过 可 以 用 SSI 告 诉 用 户 文档 是 什么 时 候 被 修改 的 ， 但 是 具体 实现 方法 却 未 说 明 。 
将 以 下 代码 放 到 HTML 中 ， 会 在 页 面 中 产生 一 个 时 间 惟 ， 当 然 ， 你 必须 首先 按 前 面 的 方法 启用 
SSI. 


<!--#config timefmt="%A %B 96d, %Y" --> 


This file last modified <!--#flastmod file-"ssi.shtml" --> 


不 用 说 ， 你 应 该 用 你 实际 引用 的 文件 名 来 替换 ssi.shtml ， 所 以 ， 如 果 你 想 简单 地 在 所 有 文 
件 中 使 用 这 段 通 用 代码 以 达到 这 个 目的 ， 这 个 方法 就 并 不 方便 ， 就 需要 用 到 LAsT MODIFIED 


iE: 


<!--#config timefmt="%D" --> 


This file last modified <!--#echo var="LAST_MODIFIED" --> 
BK timefmt 格式 的 细节 ， 可 以 到 google 查 找 strftime ， 其 语法 是 相同 的 。 


包含 一 个 标准 页 脚 


当 你 管理 一 个 拥有 许多 页 面 的 站 点 ， 你 会 发 现 对 所 有 页 面 同时 做 改动 是 很 痛苦 的 ， 尤 其 是 在 
试图 对 所 有 页 面 维 持 某 种 标准 视觉 效果 的 时 候 。 


使 用 包含 一 个 页 眉 /页 脚 的 方法 ， 可 以 减轻 修改 的 负担 。 你 只 要 制作 一 个 页 脚 文件 ， 并 

用 include 命令 包含 到 每 个 页 面 即 可 。 include 元 素 能 按 file 属性 或 virtual 属性 判断 应 该 
包含 的 文件 。 file 属性 是 一 个 相对 于 当前 目录 的 文件 路 径 ， 即 不 能 是 一 个 绝对 路 径 (以 "" 开 
头 ) 或 包含 "../" 的 路 径 。 virtual 属性 可 能 更 有 用 ， 它 是 一 个 相对 于 被 提供 的 文档 的 URL ， 可 
以 以 "开头 ， 但 必须 与 被 提供 的 文档 位 于 同一 服务 器 上 。 


<!--#include virtual="/footer.html" --> 


SSI 指 信和 页 脚 文 件 相 结合 使 用 是 很 有 用 的 ， 比 如 在 页 脚 文件 中 使 用 Last vore 指 倒 。 
SSI 指 邻 可 以 出 现在 包含 文件 中 ， 而 include 可 以 伐 套 ， 即 一 个 包含 文件 还 可 以 再 包含 另外 一 


个 
lo 


» x55: ma 
我 还 能 设置 其 它 什么 ? 
config 除了 能 设置 时 间 格 式 ， 还 有 两 种 用 途 。 
当 SSI 指 今 发 生 错误 时 ， 会 产生 如 下 消息 : 
[an error occurred while processing this directive] 
为 了 改变 消息 的 形式 ， 可 以 使 用 config 元 素 的 errmsg 属性 : 


<!--#config errmsg-"[It appears that you don't know how to use SSI]" --> 


希望 最 终 用 户 永 远 也 不 会 看 到 这 个 消息 ， 因 为 在 网 站 投入 运行 之 前 你 已 经 把 这 些 问题 都 解决 
Ts 


是 吗 ? 


还 可 以 使 用 config 的 sizefmt 属性 设置 返回 的 文件 大 小 的 格式 ， 或 者 是 以 bytes 为 单位 ， 或 
者 是 以 Kb 或 Mb 为 单位 的 简写 (abbrev) e 


BUTT OBB 


我 期 望 未 来 几 个 月 内 能 再 写 一 篇 小 型 的 CGI 程 序 使 用 SSI 的 文章 ， 而 这 里 仅 介 绍 exec 的 使 
用 。SSI 确 实 可 以 利用 shell( /bin/sn ， 精 确 地 说 ， 还 可 以 是 Win32 中 的 DOS shell) 来 执行 命 
令 。 下 例 产 生 一 个 目录 列表 : 


«pre» 
<!--#exec cmd="1s" --> 


</pre> 


或 者 在 Windows 中 : 


«pre» 
<!--#exec cmd="dir" --> 


</pre> 
你 可 能 会 发 现 ， 在 Windows 中 这 个 指令 的 结果 有 些 奇 怪 ， dir 的 输出 中 包含 有 字符 串 " 
< dir >"， 它 会 使 浏览 器 产生 混淆 。 


注意 ， 这 个 功能 是 极度 危险 的 ， 因 为 它 会 执行 任何 包含 在 exec 标记 中 的 命令 。 如 果 用 户 有 可 
能 修改 你 的 网 页 内 容 ， 比 如 "留言 本 "， 那 么 你 一 定 要 关闭 这 个 功能 。 可 以 在 options 指令 中 加 
上 IncludesNOEXEC 参数 ， 以 关闭 exec 功能 ， 同 时 又 保留 SSl。 


高 级 SSI 技 术 


除了 分 离 内 容 ，Apache SSI 还 有 设置 变量 的 操作 ， 并 且 还 可 以 将 这 些 变量 用 在 比较 和 条 件 表 
达 式 中 。 


SA 


本 文中 讨论 的 大 多 数 功 能 仅 在 Apache1.2 及 更 新 版 本 中 有 效 。 如 果 你 运行 的 不 是 Apache1.2 及 
更 新 版 本 ， 请 立刻 或 者 尽快 升级 ， 现 在 就 动手 ， 我 们 会 等 你 弄 好 了 再 继续 往 下 讲 。 


设置 变量 


使 用 sec 指令 可 以 设置 变量 以 各 后 用 ， 其 语法 是 : 


<!--#set var="name" value="Rich" --> 


除了 设置 字面 变量 以 外 ， 还 可 以 设置 其 他 任何 变量 ， 比 如 环境 变量 和 此 前 提 到 过 的 一 些 变量 
(如 LAsT_MopIFIED )， 作 为 你 的 专用 变量 。 在 变量 名 前 面 级 以 "$"， 表 示 它 是 一 个 变量 ， 而 不 是 
一 个 字面 字符 串 。 


<!--#set var="modified" value-z"$LAST MODIFIED" - -> 


若 要 在 字面 字符 串 中 使 用 "$"， 必 须 使 用 转 义 符号 "$" 


<!--#set var="cost" value="\$100" --> 


最 后 ， 如 果 要 在 较 长 的 字符 串 中 使 用 变量 ， 可 以 用 花 括号 把 变量 名 括 起 来 ， 以 免 变 量 名 与 其 
他 字符 混淆 (要 对 这 种 情况 举例 说 明 有 点 难度 ， 但 还 是 希望 你 能 领会 )。 


<!--#set var="date" value="${DATE_LOCAL}_${DATE_GMT}" - -> 





条 件 表达 式 


有 了 变量 ， 就 可 以 设置 和 比较 它们 的 值 以 表示 条 件 ，SSI 也 因此 成 为 一 种 简洁 的 编程 语 
言 。 mod include 提供 了 if , elif , else , endif 等 结构 以 构造 条 件 语句 ， 从 同一 个 页 面 高 
效 地 产生 多 个 逻辑 页 面 。 


条 件 结构 如 下 : 
<!--#if exprz"test condition" --> 
<!--#elif expr="test_condition" --> 


<!--#else --> 


<!--#endif --> 


test_condition 可 以 是 任何 逻辑 比较 : 可 以 是 一 个 值 和 另 一 个 值 比较 ， 也 可 以 是 测试 一 个 特定 
的 值 是 否 为 " 真 "( 一 个 给 定 的 字符 串 如 果 非 空 则 为 真 )。 完 整 的 比较 操作 符 列 表 ， 参 
见 mod include 。 以 下 是 可 能 会 用 到 的 一 些 例子 。 


在 配置 文件 中 ， 可 以 这 样 设置 : 


BrowserMatchNoCase macintosh Mac 


BrowserMatchNoCase MSIE InternetExplorer 


如 果 客 户 端 在 Macintosh 上 运行 Internet Explorer， 则 上 例 设置 环境 变 
量 "Mac" 和 "InternetExplorer" 都 为 真 。 


然后 ， 在 允许 SSI 的 文档 中 ， 可 以 这 样 设置 : 


<!--#if expr="${Mac} && ${InternetExplorer}" --> 
Apologetic text goes here 

<!--#else --> 

Cool JavaScript code goes here 


<!--#endif --> 


我 一 点 也 不 反对 在 Mac 上 和 运行 IE， 只 是 上 个 星期 我 花 了 好 几 个 小 时 试图 在 Mac 上 的 IE 中 使 用 
JavaScript， 而 它 在 其 他 地 方 都 能 正常 运作 ， 以 上 只 是 一 个 临时 的 妥协 方案 。 


任何 其 他 变量 (或 者 是 你 定义 的 ， 或 者 是 标准 的 环境 变量 ) 都 可 以 用 于 条 件 语 句 。 利 用 Apache 
的 setEnvIf 以 及 其 他 相关 指令 设置 环境 变量 ， 此 功能 可 以 很 好 地 实现 动态 页 面 而 无 须 借助 于 
CGI. 


ex 


2 
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SSI 固 然 不 能 替代 CGI 或 者 其 他 动态 页 面 技术 ， 但 它 是 在 页 面 中 插入 众多 小 型 的 动态 片段 的 优 
秀 方法 ， 而 无 须 大 量 额 外 的 操作 。 


htaccess 32+ 


.htaccess 文件 提供 了 针 对 每 个 目 录 改 变 配置 的 方法 。 


.htaccess 文件 


相关 模块 


* core 

* mod authn file 

* mod authz groupfile 
* mod_cgi 

* mod_include 


* mod_mime 
相关 指令 


e  AccessFileName 
*  AllowOverride 
* Options 

*  AddHandler 

*  SetHandler 

@ AuthType 

* AuthName 

* AuthUserFile 

*  AuthGroupFile 


@ Require 


工作 原理 和 使 用 方法 


.htaccess 文件 (或 者 "分 布 式 配置 文件 ") 提 供 了 针对 每 个 目录 改变 配置 的 方法 ， 即 在 一 个 特定 
的 目录 中 放置 一 个 包含 指令 的 文件 ， 其 中 的 指令 作用 于 此 目录 及 其 所 有 子 目录 。 


说 明 : 


如 果 需 要 使 用 .htaccess 以 外 的 其 他 文件 名 ， 可 以 用 AccessFileName 指令 来 改变 。 例 如 ， 需 
要 使 用 .config ， 则 可 以 在 服务 器 配置 文件 中 按 以 下 方法 配置 : 


AccessFileName .config 


通常 ， .htaccess 文件 使 用 的 配置 语法 和 主 配 置 文件 一 样 。 Allowoverride 18 1 FRE 
了 .htaccess 文件 中 哪些 指令 才 是 有 效 的 。 如 果 一 个 指令 允许 在 .htaccess 中 使 用 ， 那 么 在 本 
手册 的 说 明 中 ， 此 指令 会 有 一 个 覆盖 项 段 ， 其 中 说 明了 为 使 此 指令 生效 而 必须 

在 AllowOverride 指令 中 设置 的 值 。 

例如 ， 本 手册 对 Addpefaultcharset 指使 的 阐述 表明 此 指使 可 以 用 于 .htaccess 文件 中 ( 见 " 作 
用 域 " 项 )， 而 履 盖 项 一 行 是 Filernfo ， 那 么 为 了 使 .htaccess 中 的 此 指令 有 效 ， 则 至 少 要 设 


iB AllowOverride FileInfo o 


例子 : 


作用 域 server config, virtual host, directory, .htaccess 


18 m o Filelnfo 


如 果 不 能 确定 某 个 指令 是 否 可 以 用 于 htaccess 文件 ， 可 以 查阅 手册 中 对 指令 的 说 明 ， 看 
在 "作用 域 " 行 中 是 否 有 ".htaccess" 。 


(不 ) 使 用 .htaccess 文 件 的 场合 


一 般 情 况 下 ， 不 应 该 使 用 .htaccess 文件 ， 除 非 你 对 主 配置 文件 没有 访问 权限 。 有 一 种 很 常 
见 的 误解 ， 认 为 用 户 认 证 只 能 通过 .htaccess 文件 实现 ， 其 实 并 不 是 这 样 ， 把 用 户 认 证 写 在 
主 配 置 文件 中 是 完全 可 行 的 ， 而 且 是 一 种 很 好 的 方法 。 


.htaccess 文件 应 该 被 用 在 内 容 提供 者 需要 针对 特定 目录 改变 服务 器 的 配置 而 又 没有 root 权 限 
的 情况 下 。 如 果 服务 器 管理 员 不 愿意 频繁 修改 配置 ， 则 可 以 允许 用 户 通过 .htaccess 文件 自 
己 修改 配置 ， 尤 其 是 ISP 在 同一 个 机 器 上 运行 了 多 个 用 户 站 点 ， 而 又 希望 用 户 可 以 自己 改变 配 
置 的 情况 下 。 


虽然 如 此 ， 一 般 都 应 该 尽 可 能 地 人 避免 使 用 ,htaccess 文件 。 任 何 希 望 放 在 .htaccess 文件 中 的 
配置 ， 都 可 以 放 在 主 配置 文件 的 «Directory» Er, 而 且 更 高 效 。 


避免 使 用 .htaccess 文件 有 两 个 主要 原因 。 


首先 是 性 能 。 如 果 Allowoverride 启用 了 .htaccess 文件 ， 则 Apache 需 要 在 每 个 目录 中 查 
找 .htaccess 文件 ， 因 此 ， 无 论 是 否 真 正 用 到 ， 启 用 .htaccess 都 会 导致 性 能 的 下 降 。 另外 ， 
对 每 一 个 请 求 ， 都 需要 读 取 一 次 .htaccess 文件 。 


还 有 ，Apache 必 须 在 所 有 上 级 的 目录 中 查找 .htaccess 文件 ， 以 使 所 有 有 效 的 指令 都 起 作用 
(参见 指令 的 生效 )， 所 以 ， 如 果 请 求 /www/htdocs/example 中 的 页 面 ， Apache 必 须 查找 以 下 文 
件 : 


/.htaccess 
/www/ .htaccess 
/www/htdocs/.htaccess 


/www/htdocs/example/.htaccess 


共 要 访问 4 个 额外 的 文件 ， 即 使 这 些 文件 都 不 存在 。( 注 意 ， 这 可 能 仅仅 由 于 人 允许 根 目 
"/ "使 用 .htaccess ， 哩 然 这 种 情况 并 不 多 。) 


录 
其 次 是 安全 。 这 样 会 允许 用 户 自己 修改 服务 器 的 配置 ， 这 可 能 会 导致 某 些 意 想不到 的 修改 ， 
所 以 请 认真 考虑 是 否 应 当 给 予 用 户 这 样 的 特权 。 但 是 ， 如 果 给 予 用 户 较 少 的 特权 而 不 能 满足 
其 需要 ， 则 会 带 来 额外 的 技术 支持 请 求 ， 所 以 ， 必 须 明确 地 告诉 用 户 已 经 给 予 他 们 的 权限 ， 
说 明 Allowoverride 设置 的 值 ， 并 引导 他 们 参阅 相应 的 说 明 ， 以 免 日 后 生出 许多 麻烦 。 


注意 ， 在 /www/htdocs/example 目录 下 的 .htaccess 文件 中 放置 指 兮 ， 与 在 主 配置 文件 
中 «Directory /www/htdocs/example» 段 中 放置 相同 指 今 ， 是 完全 等 效 的 。 


/www/htdocs/example H 录 下 的 .htaccess 文件 : 


/www/htdocs/example 目录 下 的 .htaccess 文 件 的 内 容 : 


AddType text/example .exm 


httpd.conf 文件 中 摘录 的 内 容 : 


«Directory /www/htdocs/example» 


AddType text/example .exm 
«/Directory» 


但 是 ， 把 配置 放 在 主 配置 文件 中 更 加 高 效 ， 因 为 只 需要 在 Apache 启 动 时 读 取 一 次 ， 而 不 是 在 
每 次 文件 被 请 求 时 都 读 取 。 


将 AllowOverride 设置 为 none 可 以 完全 禁止 使 用 .htaccess 文件 


AllowOverride None 


指令 的 生效 


.htaccess 文件 中 的 配置 指 合作 用 于 .htaccess 文件 所 在 的 目录 及 其 所 有 子 目 录 ， 但 是 很 重要 
的 、 需 要 注意 的 是 ， 其 上 级 目录 也 可 能 会 有 .htaccess 文件 ， 而 指令 是 按 查 找 顺 序 依次 生效 
的 ， 所 以 一 个 特定 目录 下 的 .htaccess 文件 中 的 指使 可 能 会 覆盖 其 上 级 目录 中 的 .htaccess X 


件 中 的 指令， 即 子 目录 中 的 指令 会 覆盖 父 目 录 或 者 主 配置 文件 中 的 指令 。 
例子 : 
/www/htdocs/examplei 目录 中 的 .htaccess 文件 有 如 下 内 容 : 


Options +ExecCGI 


(注意 : 必须 设置 " Allowoverride Options "以 人 允许 在 .htaccess 中 使 用 " options "#87) 


/www/htdocs/example1/example2 H 录 中 的 .htaccess 文件 有 如 下 内 容 : 


Options Includes 


由 于 第 二 个 ,htaccess 文件 的 存在 ， /www/htdocs/example1l/example2 中 的 CGI 执行 是 不 允许 
的 ， 而 只 人 允许 options Includes ， 它 完全 覆盖 了 之 前 的 设置 


将 .htaccess 合 并 到 主 配 置 文件 中 


TEAN EAE RET 仓 的 那样 ， .htaccess 文件 能 够 覆盖 «Directory» 段 中 对 相应 目录 的 
设置 ， 但 是 也 同样 会 被 主 配置 文件 中 其 它 类 型 的 配置 段 所 覆盖 。 这 个 特性 可 以 用 来 强制 实施 

E 甚至 在 Allowoverride BAHARIA Fo BPG ead 为 了 强迫 

在 .htaccess 中 禁止 脚本 执行 但 不 限制 其 它 的 情况 下 ， 可 以 这 样 : 


<Directory /> 


Allowoverride All 
«/Directory» 


«Location /» 


Options +IncludesNoExec -ExecCGI 
</Location> 


认证 举例 


如 果 你 只 是 为 了 知道 如 何 认 证 ， 而 直接 从 这 里 开始 看 的 ， 有 很 重要 的 一 点 需要 注意 ， 有 一 种 
常见 的 误解 ， 认 为 实现 密码 认证 必须 要 使 用 .htaccess 文件 ， 其 实 是 不 正确 的 。 把 认证 指令 
放 在 主 配 置 文件 的 <directory> 段 中 是 一 个 更 好 的 方法 ， 而 .htaccess 文件 应 该 仅仅 用 于 无 权 
访问 主 配置 文件 的 时 候 。 参 见 上 述 关 于 何 时 应 该 与 何 时 不 应 该 使 用 .htaccess 文件 的 讨论 。 


有 此 声明 在 先 ， 如 果 你 仍然 需要 使 用 .htaccess 文件 ， 请 继续 看 以 下 说 明 。 
.htaccess 文件 的 内 容 


AuthType Basic 

AuthName "Password Required" 
AuthUserFile /www/passwords/password.file 
AuthGroupFile /www/passwords/group.file 


Require Group admins 


必须 设置 AllowOverride AuthConfig 以 允许 这 些 指令 生效 。 


更 详细 的 说 明 ， 请 参见 认证 、 授 权 、 访 问 控制 。 
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.htaccess 文件 的 另 一 个 常见 用 途 是 允许 一 个 特定 的 目录 使 用 服务 器 端 包 含 (SSI)， 可 以 在 需 
要 的 目录 中 放置 .htaccess 文件 ， 并 作 如 下 配置 : 


Options +Includes 
AddType text/html shtml 


AddHandler server-parsed shtml 


注意 ， 必 须 同 时 设置 AllowOverride Options 和 AllowOverride FileInfo 以 使 这 些 指 今生 


效 。 
更 详细 的 有 关 服 务 器 端 包 含 的 说 明 ， 请 参见 SSI 指 南 。 


CGI 举例 


可 以 通过 .htaccess 文件 允许 在 特定 的 目录 中 执行 CGI 程序 ， 需 要 作 如 下 配置 


Options +ExecCGI 


AddHandler cgi-script cgi pl 


另外 ， 如 下 配置 可 以 使 给 定 目 录 下 的 所 有 文件 被 视 为 CGI 程序 : 


Options +ExecCGI 


SetHandler cgi-script 


注意 ， 必 须 同 时 设置 AllowOverride Options 和 AllowOverride FileInfo 以 使 这 些 指 今生 


效 。 
更 详细 的 有 关 CGI 编 程 和 配置 的 说 明 ， 请 参见 CGI 指南 。 


如 果 在 .htaccess 文件 中 的 某 些 指使 不 起 作用 ， 可 能 有 多 种 原因 。 

最 常见 的 原因 是 Allowoverride 指令 没有 被 正确 设置 ， 必 须 确 保 没有 对 此 文件 区 域 设 置 
AllowOverride None 。 有 一 个 很 好 的 测试 方法 ， 就 是 在 .htaccess 文件 随便 增加 点 无 意义 的 
垃圾 内 容 ， 如 果 服 务 器 没有 返回 了 一 个 错误 消息 ， 那 么 几乎 可 以 断定 设置 了 

AllowOverride None o 


在 访问 文档 时 ， 如 果 收 到 服务 器 的 出 错 消 息 ， 应 该 检查 Apache 的 错误 日 志 ， 可 以 知 
道 .htaccess 文件 中 哪些 指令 是 不 允许 使 用 的 ， 也 可 能 会 发 现 需要 纠正 的 语法 错误 。 


用 户 网 站 目录 


在 多 用 户 系统 中 ， 用 userpir 指 邻 可 以 允许 每 个 用 户 在 其 宿主 目录 中 拥有 一 个 网 络 站 点 。 使 
用 URL nttp://example.com/-username/ 的 访问 者 可 以 获得 用 户 " username "的 宿主 目录 中 的 内 
容 或 者 用 userbir 指定 的 子 目 录 中 的 内 容 。 


用 户 网 站 目录 


相关 模块 
* mod_userdir 
相关 指令 


*  UserDir 
* DirectoryMatch 


© AllowOverride 


用 UserDir 设 置 文件 路 径 


可 以 用 userpir 指令 指定 被 网 络 读 取 的 用 户 网 站 目录 。 此 指令 有 几 种 不 同 的 形式 。 
如 果 路 径 没 有 前 导 斜 枉 ， 则 被 当 作 该 用 户 宿主 目录 下 的 子 目 录 。 如 果 有 以 下 配置 : 


UserDir public html 


则 URL http://example.com/~rbowen/file.html 会 被 解释 为 文件 路 
径 : /home/rbowen/public html/file.html 


如 果 路 径 有 前 导 斜 枉 ， 则 用 此 路 径 和 用 户 名 构造 路 径 。 如 果 有 以 下 配置 : 


UserDir /var/html 


则 URL http://example.com/~rbowen/file.html 会 被 解释 为 文件 路 


X : /var/html/rbowen/file.html 


M 


如 果 路 径 中 有 星 号 (*)， 则 星 号 部 分 会 被 用 户 名 所 取代 。 如 果 有 以 下 配置 : 


UserDir /var/www/*/docs 


则 URL http://example.com/-rbowen/file.html 会 被 解释 为 文件 路 


径 : /var/www/rbowen/docs/file.html 


限定 哪些 用 户 可 以 使 用 此 功能 
使 用 userpir 可 以 限定 被 允许 使 用 此 功能 的 用 户 : 


UserDir enabled 


UserDir disabled root jro fish 


上 述 配 置 使 除了 列 在 disabled 中 的 用 户 以 外 的 所 有 用 户 都 可 以 使 用 此 功能 。 还 可 以 禁止 所 有 
用 户 而 只 人 允许 部 分 用 户 使 用 此 功能 ， 例 如 : 


UserDir disabled 


UserDir enabled rbowen krietz 


更 多 的 例子 请 参见 userbir 文档 。 


启用 对 每 个 用 户 都 有 效 的 cgi 目 录 


«Directory» 旨 邻 可 以 指定 每 个 用 户主 目 x 中 的 一 个 特定 的 目 xk 为 "允许 cgi" 的 目录 ， 使 每 个 用 
户 都 可 以 拥有 自己 的 cgi-bin E x. 


«Directory /home/*/public html/cgi-bin/» 
Options ExecCGI 
SetHandler cgi-script 


</Directory> 


这 样 " 放 辟 的 "设置 使 得 UserDir 被 设置 成 public html , CGI 程序 example.cgi 可 以 用 下 面 的 
URL 从 那个 目录 加 载 : 


http://example.com/-rbowen/cgi-bin/example.cgi 


人 允许 用 户 改变 配置 


用 户 可 以 通过 .htaccess 文件 改变 其 网 络 空间 的 服务 器 配置 ， 因 此 必须 确保 Allowoverride 指 
倒 被 正确 设置 ， 以 限定 用 户 只 能 使 用 被 允许 的 指令 。 其 细节 请 参见 .htaccess 指 南 。 


针对 特定 平台 的 说 明 


Microsoft Windows 


Apache 的 使 用 

此 文 前 述 如 何在 Windows 平 台 上 安装 、 配 置 和 运行 Apache2.0 

参见 : 在 Microsoft Windows 上 使 用 Apache 

编译 Apache 

此 文 会 指出 在 Windows 平 台 上 编译 Apache 以 前 必须 了 解 的 许多 要 点 。 


参见 : 在 Microsoft Windows 平 台 上 编译 Apache 


其 他 平台 


Novell NetWare 

此 文 前 述 如 何在 Novell NetWare 5.1 及 其 更 新 版 本 中 安装 、 配 置 和 运行 Apache2.0 
参见 : 在 Novell NetWare 平 台 上 使 用 Apache 

HP-UX 

此 文 阅 述 如 何在 HP-UX 中 运行 Apache 

参见 : 在 HP-UX 中 运行 Apache 

EBCDIC 


Apache HTTP 服 务 器 的 1.3 版 本 是 第 一 个 支持 使 用 EBCDIC 作 为 宿主 编码 集 的 非 ASCII 体 系 主 
机 的 版 本 。 


警告 : 这 个 文档 中 ， 不 包含 Apache HTTP 服 务 器 2.0 更 新 的 内 容 ， 有 些 内 容 可 能 仍然 有 效 ， 
使 用 中 请 注意 。 


参见 : The Apache EBCDIC Port 


在 Microsoft Windows 中 使 用 Apache 


此 文档 前 述 了 如 何在 Microsoft Windows 平 台 上 安装 、 配 置 和 运行 Apache 2.0, 如 果 你 发 现 
了 bug， 或 者 希望 以 其 他 方式 作出 贡献 ， 请 使 用 我 们 的 bug 报 告 页 面 。 


本 文档 的 大 多 数 内 容 假定 你 是 从 一 个 二 进 制 发 布 版 安装 Apache 到 Windows 上 。 如 果 你 想 自 己 
编译 Apache( 可 能 有 助 于 开发 和 跟踪 bugs)， 参 看 编译 Windows 下 的 Apache。 
基于 当前 的 Windows 版 本 状况 ， 本 文档 使 用 到 的 缩写 及 其 意义 解释 包括 : 


e Windows NT: 指 所 有 基于 NT 核心 的 Microsoft Windows 操 作 系 统 的 版 本 ， 包 括 Windows 
NT, Windows 2000, Windows XP, Windows.NET Server 2003 及 后 续 版 本 。 

。 Windows 9x: 指 所 有 定位 于 家 庭 使 用 的 Microsoft Windows 操 作 系 统 的 版 本 ， 包 括 
Windows 95 , Windows 98, Windows ME 。 


对 操作 系统 的 要 求 


Apache 2.0 被 设计 为 在 Windows NT 上 运行 。 它 的 二 进 制 安 装 程序 只 能 在 x86 处 理 器 上 运行 ， 
比如 Intel 和 AMD 的 芯片 。Apache 可 能 也 能 够 运行 在 Windows 9x 上 ， 但 是 并 没有 经 过 测试 ， 
也 不 建议 在 实际 工作 的 系统 上 这 样 使 用 。 


任何 情况 下 都 必须 确保 TCP/IP 网 络 协议 已 经 安装 。 如 果 在 Windows 95 上 运行 ， 必 须 安 
装 "Winsock2" 升 级 补丁 。 "Winsock2" for Windows 95 可 以 在 这 里 下 载 。 


如 果 在 NT 4.0 上 运行 ， 建 议 安 装 Service Pack 6 ， 因 为 Service Pack 4 有 众所周知 的 TCP/IP 和 
Winsock 完 整 性 的 问题 ， 在 以 后 的 Service Pack 中 解决 了 这 些 问 题 。 


下 载 Apache for Windows 


关于 Apache 最 新 版 本 的 有 关 信 息 可 以 在 http://httpd.apache.org/download.cgi 上 找到 。 那 里 会 
列 出 当前 发 行 版 本 、 所 有 最 近 的 alpha 和 beta 测 试 版 本 以 及 镜像 web 站 点 和 匿名 ftp 服 务 器 的 信 
息 。 


你 应 该 下 载 带 有 .msi 扩展 名 的 Apache for Windows 版 本 。 这 是 一 个 单一 的 Microsoft 
Installer 文 件 ， 包 含 了 Apache ， 可 以 立即 安装 并 运行 。 还 有 一 个 单独 的 .zip 文件 只 打包 了 
源码 ， 可 以 用 Microsoft Visual C++ (Visual Studio) 工 具 来 编译 。 


安装 Apache for Windows 


Apache) 222% 2 4 Microsoft Installer 1.2 或 更 高 版 本 。 在 Windows 9x 中 ， 你 可 以 从 这 里 升 
级 Microsoft Installer 到 2.0 ， 在 Windows NT 4.0 和 2000 中 ，2.0 的 升级 版 在 这 里 。Windows 
XP/2003 不 需要 这 个 升级 。 


注意 ， 使 用 这 个 安装 包 不 能 在 同一 个 机 器 上 安装 两 套 Apache 2.0。 但 是 ， 在 同一 个 机 器 上 ， 
安装 一 个 1.3 系 列 和 一 个 2.0 系 列 的 Apache 则 没有 问题 。 如 果 你 需要 在 同一 个 机 器 上 安装 两 套 
不 同 的 2.0 版 本 ， 则 必须 用 代码 编译 和 安装 Apache 


运行 已 下 载 的 上 述 Apache .msi 文件 。 安 装 程序 会 要 求 提 供 下 列 信息 : 


1. Network Domain 你 的 服务 器 已 经 或 者 将 要 注册 的 DNS 域名 。 比 如 你 的 服务 器 的 全 称 
DNS 域名 是 server.mydomain.net ， 你 应 当 在 这 里 输入 : mydomain.net 


2. Server Name 你 的 服务 器 的 全 称 DNS 域 名 ， 如 上 情况 你 应 当 在 这 里 答 


人 server. mydomain.net 


3. Administrator's Email Address 服务 器 管理 员 的 email 地 址 。 这 个 地 址 将 会 在 默认 的 出 
错 页 面 上 显示 给 客户 端 。 


4. For whom to install Apache 如 果 你 希望 Apache 在 80 端 口 监听 ， 并 被 安装 为 服务 (即使 
无 人 登陆 ，Apache 仍 将 运行 )， 就 选 
择 " for All Users, on Port 80, as a Service - Recommended " ; 如 果 你 希望 将 Apache 安 装 
为 个 人 试验 使 用 ， 或 者 已 经 有 一 个 运行 于 80 端 口 的 WWW 服 务 器 ， 就 先 


d£" only for the Current User, on Port 8080, when started Manually "ə 


5. The installation type 选择 Typical 会 安装 除开 发 模块 需要 使 用 的 源码 和 库 以 外 的 所 有 
内 容 。 选 择 custom 可 以 自 定义 安装 哪些 项 目 。 完 整 安装 大 约 需 要 13MB 磁 名 空间 ， 这 其 
中 并 不 包含 你 的 网 站 文件 所 用 空间 。 


6. Where to install 安装 Apache 的 文件 夹 ， 默认 为 C:\Program Files\Apache Group 文件 夹 
下 的 Apache2 子 文件 夹 。 


安装 期 间 ，Apache 将 会 配置 你 所 选择 的 安装 目录 下 的 conr 文件 夹 中 的 文件 。 但 是 如 果 那 个 
目录 下 已 有 同名 文件 存在 ， 原 有 文件 将 不 会 被 覆盖 ， 而 相应 的 新 文件 将 会 被 加 上 .default 扩 
展 名 。 所 以 ， 举 例 来 说 ， 如 果 conf\httpd.conf 已 经 存在 ， 那 么 不 会 对 它 做 任何 改变 ， 而 新 
版 本 conf\httpd.conf 的 内 容 将 会 被 写 入 文件 conf\nttpd.conf.default 。 安装 完成 以 后 你 应 
该 检查 .default 文件 中 的 内 容 看 看 有 没有 不 同 ， 如 果 必 要 ， 更 新 你 原 有 的 配置 文件 。 


而 且 ， 如 果 你 已 经 有 一 个 名 为 htdocs\index.html 的 文件 ， 它 不 会 被 覆盖 掉 (也 不 会 安 
装 index.html.default 文件 )。 这 意味 着 你 在 一 个 旧版 本 Apache 上 安装 新 版 本 是 安全 的 (但 是 
你 必须 在 安装 之 前 首先 停 掉 原 有 服务 器 然后 在 安装 完成 后 重新 启动 它 )。 


安装 Apache 以 后 ， 你 应 该 编辑 cont 目录 下 的 配置 文件 。 这 些 文件 已 在 安装 期 间 被 配置 好 以 
便 Apache 能 够 从 安装 目录 运行 ， 文 档 目 录 被 配置 为 安装 目录 下 的 子 目录 htdocs 。 在 你 开始 
真正 使 用 之 前 还 有 很 多 选项 需要 设置 。 但 是 为 了 尽快 开始 ， 可 以 使 用 安装 时 自动 配置 的 配置 


文件 。 


配置 Apache for Windows 


与 Unix 系 统 下 的 版 本 一 样 ，Apache 使 用 cont 目录 下 的 文件 进行 配置 ， 但 是 Windows 版 本 有 
几 个 不 同 的 指令 ， 参 见 指令 素 引 察看 全 部 可 用 指 今 。 


Apache for Windows 主 要 的 不 同 点 是 : 


因为 Apache for Windows 是 多 线程 的 ， 它 并 不 像 Unix 版 本 那样 为 每 个 请 求 使 用 一 个 单独 
的 进程 。 而 是 通常 运行 两 个 Apache 进 程 : 一 个 父 进程 ， 和 一 个 义理 请 求 的 子 进 程 。 在 子 
进程 内 部 由 多 个 单独 的 线程 来 处 理 每 个 请 求 。 


因此 与 进程 管理 相关 的 指令 是 不 同 的 : 


MaxRequestsPerChild 就 像 Unix 版 本 中 的 指令 一 样 ， 这 条 指令 控制 一 个 进程 退出 前 将 为 多 
少 个 请 求 提 供 服务 。 然而 ， 与 Unix 不 同 的 是 ， 一 个 进程 将 为 所 有 请 求 而 不 是 只 为 一 个 请 
求 服务 ， 因 此 如 果 设 置 这 条 指 合 ， 建 议 将 它 设 为 一 个 很 大 的 值 。 默 认 设 置 
MaxRequestsPerChild 0 使 得 进程 从 不 退出 。 


EE: 启动 新 的 子 进程 时 将 会 重新 读 入 服务 器 配置 文件 。 如 果 你 修改 了 httpd.conf , 
新 的 子 进程 类 有 可 能 不 能 启动 或 者 可 能 得 到 预期 之 外 的 结果 。 


ThreadsPerChild 是 一 条 新 的 指 今 ， 用 来 告诉 服务 器 应 该 使 用 多 少 个 线程 ， 外 明了 服务 器 
可 以 立刻 处 理 的 最 大 连接 数 ; 如 果 你 的 站 点 有 大 量 的 点 击 ， 请 确认 你 设置 了 足够 大 的 
值 。 推 荐 的 默认 设置 是 ThreadsPerChild 50 o 


接收 文件 名 作为 参数 的 指令 必须 使 用 Windows 文 件 名 而 不 是 Unix 文 件 名 。 但 是 ， 因 为 
Apache 内 部 使 用 Unix 风 格 的 名 字 ， 你 必须 使 用 正 斜 杠 而 不 是 反 斜 枉 。 可 以 使 用 盘 符 ; 如 
果 省 略 盘 符 ， 将 假定 使 用 Apache 可 执行 文件 所 在 意 符 。 


Apache for Windows 具 有 运行 时 装 人 模块 的 能 力 ， 不 需要 重新 编译 。 如 果 Apach 在 正常 
情况 下 编译 ， 它 会 在 \Apache2\modules 目录 下 安装 许多 可 选 模块 。 要 激活 它们 或 其 他 模 
块 ， 必 须 使 用 新 的 LoadModule fa. 举例 来 说 ， 要 激活 状态 模块 ， 使 用 下 列 指使 ( 除 
了 access.conf 中 的 状态 激活 指使 以 外 ) : 


LoadModule status_module modules/mod_status.so 


也 可 使 用 创建 可 加 载 模块 中 的 信息 。 


Apache 也 可 以 加 载 ISAPI(Internet Server Applications Programming Interface) 扩 展 ， 例 
如 被 Microsoft IIS 服 务 器 和 其 他 一 些 Windows 服 务 器 所 使 用 的 。 这 里 有 更 多 相关 信息 。 注 
意 Apache 不 能 加 载 ISAPI 过 滤器 。 


当 运 行 CGI 脚本 时 ，Apache 坦 找 脚本 解释 器 是 由 scriptinterpreterSource 指令 配置 的 。 


e 由 于 在 Windows 下 管理 具有 像 .htaccess 这 样 名 字 的 文件 是 很 困难 的 ， 你 会 发 现在 配置 
文件 中 使 用 AccessFilename 指令 改变 它 的 文件 名 是 很 有 用 的 。 


e 在 Windows NT 上 ，Apache 和 启动 时 发 生 的 错误 将 会 记 人 Windows 事 件 日 志 (event log), 这 
个 机 制 将 在 Apache 尚 不 能 使 用 error.1og 文件 的 时 候 运 作 。 你 可 以 通过 "事件 查看 器 "的 
MMC 接 口 查 看 Windows 事 件 日 志 。 


注意 ， 在 Windows 9x 上 不 存在 事件 日 志 机 制 ， 因 此 无 法 记录 启动 错误 。 


以 服务 方式 运行 Apache for Windows 


Apache 仅 能 够 在 Windows NT 上 作为 服务 运行 。 


你 可 以 选择 在 安装 Apache 时 自动 将 其 安装 为 一 个 服务 。 如 果 你 选择 "for all users"， 那 么 
Apache 将 会 被 安装 为 服务 。 如 果 你 选择 了 "only for the Current User"， 你 可 以 在 安装 后 手动 
将 Apache 注 册 为 服务 。 注 意 ， 你 必须 是 Administrators 组 的 成 员 才 能 成 功 注册 服务 。 


使 用 Apache Service Monitor 工 具 ， 可 以 查看 和 管理 你 所 在 网 络 上 的 所 有 机 器 上 安装 的 
Apache 服 务 的 状态 。 为 了 能 够 使 用 这 个 工具 管理 Apache 服 务 ， 你 必须 首先 自动 或 手动 安装 
Apache 服 务 。 


你 可 以 在 Apache 安 装 目录 的 bin 子 目 录 下 ， 使 用 如 下 命令 将 Apache 安 装 为 Windows NT 服 
务 : 


apache -k install 


如 果 你 想 指定 服务 的 名 称 ， 可 以 使 用 下 面 的 命令 。 当 你 在 同一 机 器 上 安装 多 个 Apache 服 务 
时 ， 你 必须 为 它们 指定 不 同 的 名 字 。 


apache -k install -n "服务 名 " 


如 果 你 想 为 不 同名 称 的 服务 使 用 不 同 的 配置 文件 ， 则 安装 时 需要 指定 配置 文件 : 


apache -k install -n "服务 名 " -f "c:\files\my.conf" 


如 果 你 使 用 的 是 第 一 个 命 售 ， 也 就 是 除 -k install 外 没有 其 它 命令 行 参 数 ， 那 么 被 安装 的 
服务 名 称 将 是 : Apache2 ， 配置 文件 将 使 用 confNhttpd.conf o 


要 移 除 一 个 Apache 服 务 很 简单 : 


apache -k uninstall 


或 者 使 用 下 述 命令 移 除 特定 名 称 的 Apache 服 务 : 


apache -k uninstall -n "服务 名 " 


通常 ， 启动、 重启 、 关 闭 Apache 服 务 的 方法 是 使 用 Apache Service Monitor 工 具 ， 另 外 也 可 
以 使 用 控制 台 命 令 : NET START Apache2 和 NET STOP Apache2 或 者 通过 Windows 服 务 控制 面 
板 。 在 和 启动 Apache 服 务 之 前 ， 你 上 应当 使 用 下 面 的 命令 检查 一 下 配置 文件 的 正确 性 : 


apache -n "BRA" -t 


你 可 以 通过 命令 行 开 关 来 控制 Apache 服 务 。 要 启动 一 个 已 经 安装 的 Apache 服 务 ， 可 以 使 用 : 


apache -k start 


要 停止 一 个 已 经 安装 的 Apache 服 务 ， 可 以 使 用 : 


apache -k stop 


apache -k shutdown 


要 重启 一 个 运行 中 的 Apache 服 务 ， 强 制 它 重新 读 取 配置 文件 ， 可 以 使 用 : 


apache -k restart 


默认 情况 下 ，Apache 服 务 将 被 注册 为 以 本 地 系统 用 户 ( Localsystem 帐号 ) 身 份 运 
行 。 Localsystem 帐号 没有 网 络 权 限 ， 不 能 通过 任何 Windows 安 全 机 制 访问 网 络 ， 包 括 文件 系 
统 、 命 名 管道 、DCOM 或 secure RPC ， 但 是 它 对 于 本 地 资源 却 拥有 广泛 的 特权 。 


永远 不 要 把 网 络 权 限 授 予 LocalSystem 帐号 | 如 果 你 需要 Apache 能 够 访 问 网 络 资源 ， 最 好 按 
照 下 述 方法 为 Apache 另 外 建立 一 个 单独 的 帐号 。 


你 应 该 建立 一 个 单独 的 帐号 来 运行 Apache 服 务 。 特 别 是 在 必须 通过 Apache 访 问 网 络 资源 的 时 
候 ， 我 们 更 加 强烈 建议 你 这 样 做 。 


1. 创建 一 个 普通 域 用 户 帐号 ， 并 牢记 对 应 的 密码 。 

2. 授予 这 个 新 建 的 帐号 作为 服务 登陆 和 作为 操作 系统 一 部 分 去 行 权限 。 在 Windows 
2000/XP/2003 上 你 可 以 使 用 "组 策略 "或 通过 "本 地 安全 策略 "的 MMC 接 口 来 完成 这 个 操 
作 。 

3. 确认 新 建 的 帐号 是 Users 组 的 一 个 成 员 。 

4. 确认 新 建 的 帐号 具有 读 取 和 执行 (RX) 所 有 文档 和 脚本 目录 (例如 : htdocs 和 cgi-bin ) 的 
权限 。 

5 确认 新 建 的 帐号 对 Apache 的 logs 目录 县 有 读 / 写 /删除 (RWD) 的 权限 。 


6. 确认 新 建 的 帐号 对 Apache.exe 二 进 制 文件 具有 读 取 和 执行 (RX) 的 权限 。 


一 个 很 好 的 实践 经 验 是 赋予 运行 Apache 服 务 的 用 户 读 取 和 执行 (RX) 整 个 Apache2 目 录 的 权 
限 ， 并 且 对 logs 子 目录 县 有 读 / 写 /删除 (RWD) 的 权限 。 


如 果 你 允许 使 用 这 个 帐号 作为 一 个 用 户 和 服务 登录 ， 你 就 可 以 用 这 个 帐号 登录 上 去 测试 执行 
脚本 、 读 取 web 页 的 权限 ， 还 可 以 通过 控制 台 窗 口 和 启动 Apache 。 如 果 这 样 工作 正常 ， 你 又 执 
行 了 上 述 的 操作 ， 那 么 Apache 就 能 够 正常 地 作为 服务 运行 了 。 


错误 代码 2186 是 一 个 很 好 的 提示 ， 说 明 你 需要 检查 "登陆 为 "选项 ， 因 为 服务 器 不 能 访问 必要 的 
网 络 资源 。 

当 和 启动 Apache 服 务 时 你 可 能 会 遇 到 一 个 来 自 Windows 服 务 管理 器 的 错误 信息 。 例如 ， 如 果 你 
想 使 用 控制 面板 中 的 服务 小 程序 启动 Apache， 可 能 会 得 到 下 面 这 条 信息 : 


Could not start the Apache2 service on NNCOMPUTER 


Error 1067; The process terminated unexpectedly. 


只 要 启动 Apache 出 错 你 就 会 得 到 这 个 错误 信息 。 为 了 弄 清 是 什么 引起 了 错误 ， 你 应 该 遵循 作 
为 控制 台 程 序 运 行 Apache 中 的 建议 。 


对 于 让 Apache 在 Windows 9x 下 以 类 似 Windows NT 服务 的 方式 运行 有 一 些 支持 。 都 是 高 度 试 
验 性 的 ， 即 使 能 够 工作 ，Apache 软 件 基金 会 特 不 会 证 实 其 可 靠 性 和 未 来 的 支持 。 继 续 进 行 你 
自己 的 冒险 吧 ! 


这 两 种 "服务 "有 相当 大 的 区 别 : 
如 果 你 输入 下 列 命 分 ，Apache 会 尝试 启动 ， 如 果 成 功 他 将 在 后 台 运 行 : 


Apache -n "服务 名 " -k start 


例如 ， 通 过 桌面 的 快捷 方式 运行 ， 如 果 服 务 和 启动 成 功 一 个 控制 台 窗 口 会 快速 内 过 并 立刻 消 
失 。 如 果 和 启动 时 Apache A MEJLA httpd.conf 文件 中 有 不 正确 的 设置 这 样 的 问题 ， 则 控制 台 
窗口 会 保持 可 见 。 这 样 将 显示 一 个 有 助 于 追踪 错误 原因 的 错误 信息 。 


Windows 9x 不 支持 NET START 或 者 NET stop 命令 ， 因 此 你 在 命令 中 必须 使 用 Apache 的 服务 
控制 选项 。 你 可 能 希望 为 每 个 命令 设置 一 个 快捷 方式 以 便 你 能 够 只 需要 从 开始 菜单 或 者 桌面 
一 点 就 能 执行 所 需 的 操作 。 


Apache 和 Windows 9x 没 有 提供 让 Apache 服 务 以 特定 的 具有 网 络 权限 的 用 户 身份 运行 的 支 

持 。 实 际 上 ，Windows 9x 在 本 地 机 器 上 根本 没有 提供 安全 性 。 这 就 是 Apache 软 件 基金 会 从 不 
支持 使 用 Windows 9x 作 为 公用 httpd 服 务 器 的 原因 。 这 个 便利 存在 的 唯一 目的 是 协助 用 户 开 发 
web 内 容 和 学 习 Apache 服 务 器 ， 或 者 也 许 在 一 个 安全 的 、 私 有 的 网 络 上 充当 intranet 服 务 器 。 


作为 控制 台 程 序 运 行 Apache 


虽然 通常 推荐 将 Apache 作 为 服务 来 运行 ， e EN 命令 行 运行 反而 更 加 容易 。 在 
Windows 9x 上 ， 从 命令 行 运行 Apache 是 推荐 的 方法 ， 因 为 这 些 系统 中 缺乏 可 人 靠 的 服务 支持 。 


可 以 使 用 下 列 命令 将 Apache 作 为 控制 台 程 序 从 命令 行 运行 : 


apache 


Apache 将 会 一 直 保 持 运 行 ， 直 到 被 Ctl+C 组 合 键 中 断 。 


你 还 可 以 在 安装 后 通过 
开始 按钮 --&gt; 程序 --&gt; Apache HTTP Server 2.2.xx --&gt; Control Apache Server 在 控制 
台中 运行 Apache 。 这 将 会 打开 一 个 控制 台 窗 口 并 在 其 中 启动 Apache 。 如 果 你 没有 将 Apache 
dj de 该 窗口 将 一 直 保持 打开 ， 直 到 被 Ctl+C 组 合 键 中 断 ， 并 在 几 秒 钟 后 退出 。 如 果 你 
经 特 Apache 安 装 为 服务 ， 那 么 那个 快捷 方式 将 会 启动 服务 ， 如 果 Apache 服 务 已 经 启动 了 ， 
E 什么 也 不 做 。 


你 可 以 在 另外 一 个 控制 台 窗 口中 输入 以 下 命令 停止 正在 运行 的 Apache 服 务 : 


apache -k shutdown 


这 种 方法 比 使 用 Ctl+C 组 合 键 更 好 ， 因 为 它 可 以 让 Apache 完 成 所 有 当前 的 操作 并 且 优 雅 的 清理 
所 占用 的 资源 。 

Apache 可 以 被 从 新 和 启动， 这 将 导致 它 重 新 读 取 配 置 文件 ， 重 启 前 所 有 正在 进行 的 操作 都 将 不 
被 打 断 的 完成 。 可 以 使 用 下 面 的 命令 重启 Apache : 


apache -k restart 


请 熟悉 Unix 版 本 Apache 的 用 户 注意 ， 这 些 命令 对 应 于 Unix 命 令 kill -TERM pid 和 

kill -USR1 _pid”。 命 令 中 之 所 以 使 用 -k 选项 ， 就 是 为 了 提醒 用 户 这 是 源 自 Unix 下 

的 kill fp4. 

如 果 Apache 控 制 台 窗口 在 启动 后 出 乎 意料 的 立即 关闭 ， 请 打开 一 个 新 的 控制 台 窗 口 ， 切 换 到 
Apache 的 安装 目录 下 bin 子 目录 中 ， 运 行 apache 命令 并 读 取 错 误 信 息 。 然 后 再 到 日 志 目 录 中 
查看 error.log MLAS KAT BI BAY IBS 错误 。 如 果 你 的 Apache 采 用 的 是 默认 安装 ， 这 些 命 兮 
应 当 是 : 


ce 
cd "\Program Files\Apache Group\Apache2\bin" 


apache 


等 候 Apache 人 停止， 或 者 使 用 Ctl+C 组 合 键 ， 然 后 输入 下 列 内 容 : 


cd ..\logs 


more < error.log 


可 以 在 命令 行 中 为 Apache 指 定 一 个 配置 文件 ， 有 两 种 方法 可 以 在 命令 行 中 指定 配置 文件 : 
e -f 可 以 指定 一 个 绝对 路 径 或 相对 路 径 的 配置 文件 : 


apache -f "c:\my server files\anotherconfig.conf" 


apache -f filesNanotherconfig.conf 


。 -n 可 以 指定 已 安装 的 Apache 服 务 所 使 用 的 配置 文件 : 
apache -n "服务 名 " 


在 这 两 种 情况 下 ， 必 须 在 配置 文件 中 设置 正确 的 serverRoot 值 。 


如 果 你 没有 使 用 -f sk -n 指定 配置 文件 的 路 径 ，Apache 将 会 使 用 硬 编码 在 服务 器 内 的 路 
径 ， 比 如 : confNhttpd.conf 。 这 个 内 置 的 路 笃 是 相对 于 安装 目录 的 ， 要 想 检查 这 个 内 置 的 路 
径 ， 你 可 以 通过 -v 开关 调用 Apache ， 查 看 名 为 SERVER_coNFIG_FILE 的 变量 值 : 


apache -V 


Apache 将 会 按照 下 列 顺序 检查 serverRoot 值 : 


1. 通过 -c 命令 行 开 关 指 定 的 serverRoot 值 。 

2. 通过 -d 命 合 行 开关 指定 的 值 。 

3. 当前 工作 目录 。 

4. 安装 二 进 制 文 件 时 在 注册 表 中 登记 的 项 目 。 

5， 编 译 进 二 进 制 文件 的 值 ， 该 值 默认 为 : /apache ， 你 可 以 使 用 apache -v 命令 查看 显示 


出 来 的 urrPD Roor 变量 的 值 。 


在 安装 过 程 中 ， 将 会 在 注册 表 中 新 建 一 个 版 本 特定 的 注册 表 键 。 这 个 键 的 位 置 取决 于 安装 类 
型 。 如 果 你 选择 的 是 "for all users"， 那 么 将 位 于 HKEY_LOCAL_MACHINE 分 支 下 ， 如 下 所 示 : 


HKEY LOCAL MACHINENSOFTWARENApache Group\Apache\2.0.43 


如 果 你 选择 的 是 "for the current user only"， 那 么 将 位 于 HKEY_CURRENT_USER 分 支 下 ， 其 中 的 内 
容 取决 于 当前 登陆 的 用 户 ， 如 下 所 示 : 


HKEY CURRENT USERNSOFTWARENApache Group\Apache\2.0.43 


这 个 键 已 经 被 编译 进 了 服务 器 ， 使 得 你 可 以 测试 新 版 本 而 又 不 影响 老 版 本 。 当 然 ， 你 必须 注 
意 不 要 在 同一 个 目录 中 安装 两 个 不 同 的 版 本 。 


如 果 你 没有 使 用 二 进 制 安 装 ， 在 某 些 情况 下 Apache 将 会 抱怨 注册 表 键 丢失 。 如 果 在 这 种 情况 
下 服务 器 仍然 可 以 找到 正确 的 配置 文件 ， 那 么 就 可 以 安全 的 忽略 它 。 


这 个 注册 表 键 其 实 就 是 包含 cont 子 目录 的 serverRoot 目录 。Apache 将 要 从 中 读 

HX httpd.conf 文件 。 如 果 该 配置 文件 中 又 包含 了 一 个 serverRoot 指令 ， 并 且 指 向 的 目录 与 注 
册 表 中 登记 的 不 同 ，Apache 将 以 配置 文件 中 的 指令 为 准 。 如 果 你 复制 了 配置 文件 或 者 整个 
Apache E 录 到 一 个 新 的 位 置 ， 你 要 千 万 记得 修改 httpd.conf 中 的 serverRoot 指令 ， 使 其 指 
向 正确 的 位 置 。 


UN 
安装 的 测试 

启动 Apache 运 行 以 后 (不 管 是 控制 台 窗 口 还 是 作为 服务 )， 它 会 在 80 端 口上 进行 监听 (除非 你 改 
变 了 配置 文件 中 的 Listen 指令 。 要 连接 到 服务 器 访问 默认 页 面 ， 和 启动 一 个 浏览 器 并 输入 下 列 
URL : 


http://localhost/ 


应 该 出 现 一 个 欢迎 页 面 ， 并 且 页 面 上 有 到 Apache 用 户 手册 的 链接 。 如 果 什 么 都 没有 发 生 或 是 
得 到 了 一 个 错误 ， 检 查 logs 子 文件 夹 中 的 error.log 文件 。 如 果 你 的 主机 没有 联网 或 者 
DNS 配置 有 严重 问题 ， 你 也 许 需 要 输入 这 样 的 URL : 


http://127.0.0.1/ 


如 果 你 将 Apache 配 置 为 在 非 80 端 口 监 听 ( 比 如 : 8080)， 你 应 当 使 用 下 面 的 URL 明 确 指 定 端 
口 : 


http://127.0.0.1:8080/ 
一 旦 你 的 基本 配置 可 以 工作 了 ， 你 应 该 编辑 conf 目录 下 的 文件 来 恰当 地 配置 Apache 。 此 


外 ， 如 果 你 改变 了 作为 NT 服务 运行 的 Apache 的 配置 ， 你 应 该 首先 党 试 从 命令 行 启 动 来 保证 能 
够 正确 地 启动 Apache 服 务 。 


因为 Apache 不 能 与 其 他 TCP/IP 应 用 程序 共享 同一 端口 ， 你 可 能 需要 先 停止 或 者 和 卸载 或 者 重新 
配置 某 些 特定 的 服务 。 这 包括 (但 不 限于 ) 别 的 web 服 务 器 和 Blacklce 那 样 的 防火 墙 。 如 果 你 只 
能 在 禁止 其 他 服务 的 情况 下 和 启动 Apache ， 那 么 需要 重新 配置 Apache 或 者 其 他 程序 使 它们 不 
监听 同一 个 TCP/IP 端 口 。 


在 Microsoft Windows 上 编译 Apache 


在 你 开始 编译 Apache 之 前 有 许多 重要 问题 需要 注意 。 开 始 之 前 请 先 看 看 在 Microsoft Windows 
上 使 用 Apache 。 


编译 Apache 需 要 正确 安装 以 下 环境 : 
e [sz 


TS UB5MBZ;jEufS ZA, ZXxEURApachef& AA 2;10MBR 4 Ziq, FANE 
会 快速 增长 的 日 志和 缓存 文件 需要 的 空间 。 实际 需要 的 空间 大 小 会 在 相当 大 程度 上 取决 
于 你 选择 的 配置 以 及 使 用 的 第 三 方 模块 和 库 。 


e Microsoft Visual C++ 5.0 或 更 高 版 本 


可 以 使 用 命令 行 工 具 ， 也 可 以 在 Visual Studio 集 成 开发 环境 内 编译 Apache。 使 用 命令 行 
工具 要 求 环境 变量 中 包含 pam, Incue, LB 和 其 他 一 些 变量 ， 这 些 环境 变量 可 以 
用 vcvars32 批 处 理 文件 来 设置 : 


"c:\Program Files\DevStudio\VC\Bin\vcvars32.bat" 


e Windows Platform SDK 


Visual C++ 5.0 编译 需要 一 套 新 版 的 Microsoft Windows Platform SDK 来 允许 Apache 的 某 
些 特性 。 对 于 命令 行 编译 ， 用 setenv 批 处 理 文件 来 设置 环境 变量 : 


"c:\Program Files\Platform SDK\setenv.bat" 


随 Visual C++ 6.0 及 以 后 版 本 发 布 的 Platform SDK 文 件 足以 满足 要 求 ， 所 以 新 版 本 的 用 户 
可 以 略 过 这 个 要 求 。 


注意 ， 需 要 新 版 的 Windows Platform SDK 来 使 得 Apache 支 持 的 全 部 mod_isapi 特性 可 
用 。 没 有 新 版 SDK 的 话 ， 在 MSVC++ 5.0 下 编译 Apache 会 出 现 某 些 mod_isapi 特性 将 被 
禁止 的 警告 。 在 http:/msdn.microsoft.com/downloads/sdks/platformyplatform.asp 可 以 找 
到 新 版 的 Microsoft Winodws Platform SDK。 


e awk 工具 (awk, gawk 或 类 似 软件 ) 


为 了 在 编译 系统 内 安装 Apache , FB awk.exe 工具 修改 了 几 个 文件 。 选 择 awk 是 因为 它 很 
小 ， 易 于 下 载 (与 Perl 或 者 WSH/VB 相 比 )， 而 且 能 够 完成 生成 文件 的 任务 。Brian 
Kernighan 的 http://cm.bell-labs.com/cm/cs/who/bwk/ 站 点 有 一 个 编译 好 的 本 地 Win32 代 三 
版 本 ， 这 个 文件 http://cm.bell-labs.com/cm/cs/who/bwk/awk95.exe 你 必须 将 它 名 字 保 存 
为 awk.exe 而 不 是 awk95.exe 。 


注意 Developer Studio 集 成 开发 环境 只 能 在 Tools - Options 菜 单 中 的 Directories 页 上 列 出 
的 可 执行 文件 搜索 路 径 列 表 中 查找 awk.exe (对 于 Developer Studio 7.0 是 在 the Projects 
- VC++ Directories 面板 )。 把 awk.exe 的 路 径 加 入 到 列表 中 ， 并 按 要 求 加 入 到 系 

统 PATH 环境 变量 里 。 如 果 你 用 的 是 Cygwin (http://www.cygwin.com/) 需 要 注意 ，awk 工 
具 的 文件 名 是 gawk .exe 而 文件 awk.exe 实际 上 是 gawk.exe 的 一 个 符号 连接 。 而 
Windows 命 兮 行 解释 程序 不 认识 符号 连接 ， 因 此 编译 二 进 制 安装 文件 会 失败 。 可 行 的 变 
通 办 法 是 从 cygwin 安 装 目录 删除 文件 auk.exe 并 把 gawk.exe 改名 为 awk.exe o 


[可 选 ] OpenSSL 库 (因为 mod ssi 和 ab.exe 用 到 ss 支持) 


警告 : 在 整个 世界 范围 使 用 和 发 布 高 强度 密码 体系 与 专利 知识 产权 都 有 相当 大 的 限制 和 

严格 的 禁 合 。OpenSSL 包 括 了 在 美国 及 其 他 国家 和 地 区 受到 出 口 条 例 、 国 内 法 律 以 及 受 
专利 保护 的 知识 产权 所 限制 的 高 强度 密码 体系 。 对 于 OpenSSL 项 目 提供 的 代码 ， 不 管 是 
Apache 软 件 基金 会 还 是 OpenSSL 项 目 都 不 能 提供 关于 拥有 、 使 用 和 发 布 该 代码 的 法 律 建 
议 。 向 你 自己 的 法 律 顾 问 咨 询 ， 你 需要 为 你 自己 的 行为 负责 。 


为 了 编译 mod ssl 或 abs 项 目 ( ab.exe 用 到 SSL 支 持 )，OpenSSL 必 须 安装 到 srclib A 
录 下 名 为 openssl 的 子 目录 中 ，openSSL 可 以 从 http://www.openssl.org/source/ 获 得 。 要 
是 准备 既 编 译 release 版 本 又 编译 debug 版 本 ， 而 且 要 禁止 0.9.7 版 中 受 专利 保护 的 特 
性 ， 你 应 该 使 用 下 列 编译 命令 : 


perl Configure VC-WIN32 

perl utilNmkfiles.pl &gt;MINFO 

perl utilNmkimf.pl dll no-asm no-mdc2 no-rc5 no-idea VC-WIN32 &gt;makefile 
perl utilNmkimf.pl dll debug no-asm no-mdc2 no-rc5 no-idea VC-WIN32 &gt;mal 
perl utilNmkdef.pl 32 libeay no-asm no-mdc2 no-rc5 no-idea &gt;ms\libeay32. 
perl utilNmkdef.pl 32 ssleay no-asm no-mdc2 no-rc5 no-idea &gt;ms\ssleay32. 
nmake 


nmake -f makefile.dbg 
Ha————À —  À—Àaser] 
[可 选 ] zlib 源 码 (用 于 mod def1ate ) 





Zlib 必 须 安装 到 srclib 目录 下 的 zlib 子 目录 ， 但 是 你 不 需要 去 编译 那些 源码 。 编 译 系统 
会 直接 把 压缩 源码 编译 到 mod deflate 模块 中 去 。 Zlib 可 以 从 http://www.gzip.org/zlib/ 获 
得 -- mod deflate 已 经 经 过 验证 可 以 使 用 版 本 1.1.4 正确 编译 。 


首先 ， 将 Apache 源 码 包 解 压 到 合适 的 目录 。 打 开 一 个 命令 提示 符 窗 口 并 用 ca 切换 到 那个 目 


主要 的 Apache make 文 件 命令 都 包含 在 文件 Makefile.win 中 。 要 在 Windows NT 上 编译 
Apache, Ris 简单 地 使 用 下 列 命令 之 一 就 可 以 编译 release BK debug 版 本 ， 分 别 是 : 


nmake /f Makefile.win  apacher 


nmake /f Makefile.win  apached 


两 条 命令 都 可 以 编译 Apache 。 后 者 会 在 编译 结果 文件 中 包含 调试 信息 ， 使 发 现 bugs 和 跟踪 问 
~ 更 容易 。 


& 


Developer Studio 集 成 开发 环境 的 工作 区 编译 


Apache 也 能 够 用 VC++ 的 Visual Studio 集 成 开发 环境 编译 。 为 了 简化 过 程 ， 提 供 了 一 个 Visual 
Studio 工 作 区 文件 : Apache.dsw o 它 阐述 了 完整 的 Apache 二 进 制 发 行 版 需要 的 全 部 .dsp 项 
目 列表 。 它 包 含 了 项 目 之 间 的 依存 关系 来 保证 编译 按 合适 的 顺序 进行 。 


打开 Apache.dsw 工作 区 文件 ， 选 择 InstallBin (根据 需要 选择 编译 Release 或 者 Debug 
版 本 ) 为 活动 项 目 。 InstallBin 会 引发 编译 相关 的 项 目 并 调用 makefile. win 移动 编译 后 的 可 
执行 文件 和 动态 链接 库 。 你 可 以 改变 InstallBin 项 目的 设置 来 定制 INSTDIR= 选项 ， 修 改 设 
置 中 General 页 里 面 的 Build Command lineZ& El; INsTDIR 的 缺 省 值 是 /Apache2 目录 。 如 果 
你 只 是 想 要 测试 编译 (不 安装 )， 就 用 Buildin AARE. 


.dsp 项 目 文件 使 用 Visual C++ 6.0 格 式 发 行 。Visual C++ 5.0 (97) 也 能 识别 这 种 格式 。 而 
Visual C++ 7.0 (.net) 必 须 把 Apache.dsw 和 ,dsp 文件 转换 成 Apache.sln 和 .msproj 文件 ， 
如 果 有 任何 一 个 .dsp 源 文 件 改变 了 ， 必 须 重 新 转换 相应 的 .msproj 文件 ! 这 很 容易 ， 只 需 
要 在 VC++ 7.0 集成 开发 环境 中 重新 打开 Apache.dsw 文件 。 


Visual C++ 7.0 (.net) 的 用 户 还 应 该 使 用 Build 菜单 下 的 Configuration Manager 对 话 框 来 不 选中 
模块 abs ， mod ssl 和 mod deflate , 对 编译 Debug 和 Release 版 本 都 是 。 (224 srclib H 
录 下 至 少 存在 openssi 或 者 zlib 子 目录 二 者 之 一 ， 才能 调用 nmake 或 者 明白 地 使 

用 BinBuild 目标 直接 从 集成 开发 环境 来 编译 这 几 个 模块 


导出 的 那些 .mak 文件 造成 很 大 的 争议 ， 但 对 于 Visual C++ 5.0 的 用 户 它们 是 编译 mod ssl 

、abs( 带 SSL 支 持 的 ab) 和 mod deflate 是 必需 的 。 VC++ 7.0 (.net) 的 用 户 也 能 从 中 受益 ， 

用 nmake 编译 比 用 binenv BIR, 从 VC++ 5.0 或 6.0 集成 开发 环境 编译 所 有 项 目 ， 再 使 用 
Project 菜 单 - Export 导 出 所 有 make 文 件 。 为 了 创建 全 部 自动 产生 的 动态 目标 你 必须 首先 编译 
项 目 ， 以 便 互 相 之 间 的 依存 关系 可 以 被 正确 解析 。 运 行 下 面 命令 修正 路 径 使 之 能 编译 到 任何 


AB: 


perl srclibNaprNbuildNfixwin32mak.pl 


你 必须 在 httpd 源码 树 的 顶层 目录 输入 这 个 命令 。 当前 目录 及 其 子 目录 下 所 有 的 .mak 和 
dep 项 目 文件 都 将 被 改正 ， 并 且 时 间 戳 被 调节 到 与 .dsp 一 致 。 


如 果 你 贡献 修正 项 目 文件 的 补丁 ， 我 们 必须 以 Visual Studio 6.0 格式 来 确认 项 目 文件 。 改动 
应 该 简单 而 且 只 带 有 最 少 的 编译 和 连接 标记 以 便 能 够 被 从 VC++ 5.0 到 7.0 的 所 有 环境 识别 。 


项 目 组 件 


Apache.dsw 工作 区 文件 和 makefile.win nmake 脚本 都 是 以 下 列 顺 序 编译 Apache 服 务 器 
的 .dsp 项 目 文件 : 


A 


srclib\apr\apr.dsp 
srclib\apr\libapr.dsp 
srclibNapr-utilNuriNgen uri delims.dsp 
srclibNapr-utilNxmlNexpatNlibNxml.dsp 
srclibNapr-utilNaprutil.dsp 
srclib\apr-util\libaprutil.dsp 
srclib\pcre\dftables.dsp 


oN Oak WN = 


srclib\pcre\pcre.dsp 

9. srclib\pcre\pcreposix.dsp 
10. server\gen_test_char.dsp 
11. libhttpd.dsp 
12. Apache.dsp 


此 外 ， modules\ 子 目录 树 包含 了 大 多 数 模 块 的 项 目 文件 。 


support\ 子 目 录 包 含 了 一 些 附 加 程序 的 项 目 文件 ， 它们 运行 时 不 是 Apache 的 一 部 分 ， 但 是 
管理 员 要 使 用 它们 来 测试 Apache 和 维护 密码 与 日 志文 件 。 Windows 平 台 特 有 的 支持 项 目 
在 support\win32\ 目录 下 。 


support\ab.dsp 
support\htdigest.dsp 


support\htpasswd.dsp 


support\rotatelogs.dsp 


1 

2 

3 

4. supportMlogresolve.dsp 
5 

6 supportNwin32NApacheMonitor.dsp 
7 


supportNwin32Nwintty.dsp 


—Hi4&itíApache, '&sESESRZCKTEBR A SRA RABSER—TAA RS \Apache2 El 
Ko 


要 自动 编译 和 安装 所 有 文件 到 指定 的 目录 dir， 使 用 下 列 nak 命令 之 一 : 


nmake /f Makefile.win installr INSTDIR- dir 


nmake /f Makefile.win installd INSTDIR- dir 


INSTDIR 的 di/ 参 数 给 出 了 安装 目录 ; 如 果 要 安装 到 \Apache2 目录 可 以 省 略 。 
安装 结果 如 下 列 : 


e _dir_\bin\Apache.exe - Apache 可 执行 文件 

e _dir_\bin\ApacheMonitor.exe - 服务 监 JA 28164 EIER 

e dir NinWtdigest.exe - 摘要 授权 密码 文件 工具 (Digest auth password file utility) 

e _dir_\bin\htdbm.exe - SDBM 授 权 数 据 库 密码 文件 工具 (SDBM auth database password 
file utility) 

e _dir_\bin\htpasswd.exe - 基本 授权 密码 文件 工具 (Basic auth password file utility) 

e dir NbinNlogresolve.exe - 日 志文 件 dns 名 称 查找 工具 

* dir \bin\rotatelogs.exe - 日 志文 件 通 历 工 具 

e _dir_\bin\wintty.exe - 控制 台 窗 口 工具 

e dir NbinMibapr.dll - Apache 可 移植 运行 时 共享 库 

e dir NbinMibaprutil.dll - Apache 运 行 时 共享 库 工具 

e dir NbinMibhttpd.dll - Apache 核 心 库 

e dir \modules\mod *.so - Apachen]x RIA 

e _dir_\conf - 配置 目 3 

e dir Mogs - 空 日 志 目 录 

e dir Ninclude - CH 4M 

e dir Mib - 连接 库 文 件 


关于 从 开发 树 编译 Apache 的 警告 


在 每 次 发 布 发 行 版 本 之 间 ， 只 有 dsp 文件 被 维护 。 考虑 到 会 对 审阅 者 的 时 间 造 成 巨大 浪 
费 ， 并 不 重新 产生 .mak 文件 。 因此 ， 你 不 能 依靠 上 述 的 nace 命令 来 编译 修订 过 的 .dsp 项 
目 文件 ， 除 非 你 自己 从 项 目 中 导出 全 部 .mak 文件 。 如 果 你 在 Microsoft Developer Studio 环 境 
中 编译 这 样 做 是 不 必要 的 。 同 时 注意 在 导出 make 文 件 之 前 编译 BuildBin 目标 项 目 是 非常 值得 
的 (或 者 用 命令 行 目 标 _apacher SX  apached )。 许多 文件 在 编译 过 程 中 自动 产生 。 只 有 一 次 
完全 编译 才 提 供 为 正确 的 编译 行为 编译 正确 的 依存 关系 树 所 需要 的 全 部 依赖 文件 。 


为 创建 供 发 布 的 .mak 文件 ， 一 定 要 检查 .mak (或 .dep ) 中 Platform SDK 和 其 他 头 文件 的 依 
存 性 。 Devstudio\SharedIDE\bin\ (VC5) 或 者 DevStudio\Common\MSDev98\bin\ (VC6) H KAGE 
了 sysincl.dat 文件 ， 其 中 列 出 了 所 有 的 例外 情况 来 告诉 VC++ 创 建 依存 关系 时 不 扫描 列表 中 
的 文件 ， 更 新 此 文件 以 包含 这 些 头 文件 (同时 包括 正 斜 枉 和 反 斜 杠 路 径 ， 比 


如 sys/time.h 和 sys\time.h 要 同时 列 出 )。 在 发 布 的 .mak 文件 中 包含 一 个 本 地 安装 路 径 将 
使 编译 完全 失败 ， 所 以 不 要 忘 了 运行 srclib/apr/build/fixwin32mak.pl 来 修正 .mak 文件 中 的 
绝对 路 径 。 


Using Apache With Novell NetWare 


This document explains how to install, configure and run Apache 2.0 under Novell NetWare 
6.0 and above. If you find any bugs, or wish to contribute in other ways, please use our bug 
reporting page. 


The bug reporting page and dev-httpd mailing list are not provided to answer questions 
about configuration or running Apache. Before you submit a bug report or request, first 
consult this document, the Frequently Asked Questions page and the other relevant 
documentation topics. If you still have a question or problem, post it to the 
novell.devsup.webserver newsgroup, where many Apache users are more than willing to 
answer new and obscure questions about using Apache on NetWare. 


Most of this document assumes that you are installing Apache from a binary distribution. If 
you want to compile Apache yourself (possibly to help with development, or to track down 
bugs), see the section on Compiling Apache for NetWare below. 


Requirements 

Apache 2.0 is designed to run on NetWare 6.0 service pack 3 and above. If you are running 
a service pack less than SP3, you must install the latest NetWare Libraries for C (LibC). 
NetWare service packs are available here. 


Apache 2.0 for NetWare can also be run in a NetWare 5.1 environment as long as the latest 
service pack or the latest version of the NetWare Libraries for C (LibC) has been installed . 
WARNING: Apache 2.0 for NetWare has not been targeted for or tested in this environment. 


Downloading Apache for NetWare 


Information on the latest version of Apache can be found on the Apache web server at 
http://www.apache.org/. This will list the current release, any more recent alpha or beta-test 
releases, together with details of mirror web and anonymous ftp sites. Binary builds of the 
latest releases of Apache 2.0 for NetWare can be downloaded from here. 


Installing Apache for NetWare 


There is no Apache install program for NetWare currently. If you are building Apache 2.0 for 
NetWare from source, you will need to copy the files over to the server manually. 


Follow these steps to install Apache on NetWare from the binary download (assuming you 
will install to sys:/apache2 ): 


e Unzip the binary download file to the root of the sys: volume (may be installed to any 
volume) 

e Edit the httpd.conf file setting serverRoot 和 serverName along with any file path 
values to reflect your correct server settings 

e Add svs:/aPAcHE2 to the search path, for example: 


SEARCH ADD SYS:NAPACHE2 


Follow these steps to install Apache on NetWare manually from your own build source 
(assuming you will install to sys:/apache2 ): 


e Create a directory called Apache2 on a NetWare volume 

e Copy APACHE2.NLM , APRLIB.NLM tO SYS:/APACHE2 

e Create a directory under svs:/APACcHE2 called BIN 

e Copy HTDIGEST.NLM , HTPASSWD.NLM , HTDBM.NLM , LOGRES.NLM , ROTLOGS.NLM to 
SYS: /APACHE2/BIN 

e Create a directory under svs:/APAcHE2 Called conf 

e Copy the HTTPD-STD.CONF file to the svs:/APACcHE2/CONF directory and rename to 
HTTPD.CONF 

e Copy the MIME.TYPES , cHARSET.CONV 和 macic files to svs:/APACHE2/CONF directory 

e Copy all files and subdirectories in \HTTPD-2.0\DOCS\ICONS to SYS:/APACHE2/ICONS 

e Copy all files and subdirectories in \HTTPD-2.0\DOCS\MANUAL tO SYS:/APACHE2/MANUAL 

e Copy all files and subdirectories in \HTTPD-2.0\DOCS\ERROR tO SYS:/APACHE2/ERROR 

e Copy all files and subdirectories in \HTTPD-2.0\DOCS\DOCROOT tO SYS:/APACHE2/HTDOCS 

e Create the directory svs:/APAcHE2/LOGS on the server 

e Create the directory svs:/APACHE2/CGI-BIN on the server 

e Create the directory sys:/APACHE2/MODULES and copy all nim modules into the modules 
directory 

e Edit the urrPp.cowr file searching for all @@value@@ markers and replacing them with 
the appropriate setting 

e Add svs:/aPAcHE2 to the search path, for example: 


SEARCH ADD SYS:NAPACHE2 


Apache may be installed to other volumes besides the default svs volume. 


During the build process, adding the keyword "install" to the makefile command line will 
automatically produce a complete distribution package under the subdirectory prsr . Install 
Apache by simply copying the distribution that was produced by the makfiles to the root of a 


NetWare volume (see: Compiling Apache for NetWare below). 


Running Apache for NetWare 


To start Apache just type apache atthe console. This will load apache in the OS address 
space. If you prefer to load Apache in a protected address space you may specify the 
address space with the load statement as follows: 


load address space - apache2 apache2 


This will load Apache into an address space called apache2. Running multiple instances of 
Apache concurrently on NetWare is possible by loading each instance into its own protected 
address space. 


After starting Apache, it will be listening to port 80 (unless you changed the Listen directive 
in the configuration files). To connect to the server and access the default page, launch a 
browser and enter the server's name or address. This should respond with a welcome page, 
and a link to the Apache manual. If nothing happens or you get an error, look in the 

error log file in the logs directory. 


Once your basic installation is working, you should configure it properly by editing the files in 
the conf directory. 


To unload Apache running in the OS address space just type the following at the console: 


unload apache2 


apache2 shutdown 


If apache is running in a protected address space specify the address space in the unload 
statement: 


unload address space - apache2 apache2 


When working with Apache it is important to know how it will find the configuration files. You 
can specify a configuration file on the command line in two ways: 


e -f specifies a path to a particular configuration file 


apache2 -f "vol:/my server/conf/my.conf" 


apache -f test/test.conf 


In these cases, the proper serverRoot should be set in the configuration file. 


If you don't specify a configuration file name with -f , Apache will use the file name 
compiled into the server, usually conf/httpd.conf . Invoking Apache with the -v switch will 
display this value labeled as SERVER_CONFIG_FILE . Apache will then determine its 

ServerRoot by trying the following, in this order: 


* A ServerRoot directive via a -c switch. 
e The -d switch on the command line. 

e Current working directory 

e The server root compiled into the server. 


The server root compiled into the server is usually sys:/apache2 . invoking apache with the 
-v switch will display this value labeled as HTTPD_ROOT . 


Apache 2.0 for NetWare includes a set of command line directives that can be used to 
modify or display information about the running instance of the web server. These directives 
are only available while Apache is running. Each of these directives must be preceded by 
the keyword APACHE2 . 


RESTART 


Instructs Apache to terminate all running worker threads as they become idle, reread the 
configuration file and restart each worker thread based on the new configuration. 


VERSION 

Displays version information about the currently running instance of Apache. 
MODULES 

Displays a list of loaded modules both built-in and external. 

DIRECTIVES 

Displays a list of all available directives. 

SETTINGS 


Enables or disables the thread status display on the console. When enabled, the state of 
each running threads is displayed on the Apache console screen. 


SHUTDOWN 


Terminates the running instance of the Apache web server. 


HELP 
Describes each of the runtime directives. 


By default these directives are issued against the instance of Apache running in the OS 
address space. To issue a directive against a specific instance running in a protected 
address space, include the -p parameter along with the name of the address space. For 
more information type "apache2 Help" on the command line. 


Configuring Apache for NetWare 


Apache is configured by reading configuration files usually stored in the conf directory. 
These are the same as files used to configure the Unix version, but there are a few different 
directives for Apache on NetWare. See the Apache documentation for all the available 
directives. 


The main differences in Apache for NetWare are: 


e Because Apache for NetWare is multithreaded, it does not use a separate process for 
each request, as Apache does on some Unix implementations. Instead there are only 
threads running: a parent thread, and multiple child or worker threads which handle the 
requests. 


Therefore the "process"-management directives are different: 


MaxRequestsPerChild - Like the Unix directive, this controls how many requests a 
worker thread will serve before exiting. The recommended default, 

MaxRequestsPerChild 9 , causes the thread to continue servicing request indefinitely. It is 
recommended on NetWare, unless there is some specific reason, that this directive 
always remain set to o. 


StartThreads - This directive tells the server how many threads it should start initially. 
The recommended default is startrhreads 50 . 


MinSpareThreads - This directive instructs the server to spawn additional worker threads 
if the number of idle threads ever falls below this value. The recommended default is 


MinSpareThreads 10 . 


MaxSpareThreads - This directive instructs the server to begin terminating worker 
threads if the number of idle threads ever exceeds this value. The recommended default 


İS MaxSpareThreads 100 . 


MaxThreads - This directive limits the total number of work threads to a maximum value. 
The recommended default is ThreadsPerchild 250 . 


ThreadStackSize - This directive tells the server what size of stack to use for the 
individual worker thread. The recommended default is Threadstacksize 65536 . 


e The directives that accept filenames as arguments must use NetWare filenames instead 
of Unix names. However, because Apache uses Unix-style names internally, forward 
slashes must be used rather than backslashes. It is recommended that all rooted file 
paths begin with a volume name. If omitted, Apache will assume the sys: volume 
which may not be correct. 


e Apache for NetWare has the ability to load modules at runtime, without recompiling the 
server. If Apache is compiled normally, it will install a number of optional modules in the 
\Apache2\modules directory. To activate these, or other modules, the LoadModule 
directive must be used. For example, to active the status module, use the following: 


LoadModule status module modules/status.nlm 
Information on creating loadable modules is also available. 


Additional NetWare specific directives: 


e CGIMapExtension - This directive maps a CGI file extension to a script interpreter. 
* sSecureListen - Enables SSL encryption for a specified port. 


e NwssLTrustedCerts - Adds trusted certificates that are used to create secure 
connections to proxied servers. 


e  NwssLUpgradeable - Allow a connection created on the specified address/port to be 
upgraded to an SSL connection. 


Compiling Apache for NetWare 


Compiling Apache requires MetroWerks CodeWarrior 6.x or higher. Once Apache has been 
built, it can be installed to the root of any NetWare volume. The default is the sys: /Apache2 
directory. 


Before running the server you must fill out the conf directory. Copy the file urrPD-sTD.CONF 
from the distribution conf directory and rename it to urrPp.cowr . Edit the urrPp.cowr file 
searching for all @@value@@ markers and replacing them with the appropriate setting. Copy 
over the conf/magic 和 conf/mime.types files as well. Alternatively, a complete distribution 
can be built by including the keyword install when invoking the makefiles. 


Requirements: 


The following development tools are required to build Apache 2.0 for NetWare: 


Metrowerks CodeWarrior 6.0 or higher with the NetWare PDK 3.0 or higher. 

NetWare Libraries for C (LibC) 

LDAP Libraries for C 

ZLIB Compression Library source code 

AWK utility (awk, gawk or similar). AWK can be downloaded from 
http://developer.novell.com/ndk/apache.htm. The utility must be found in your windows 
path and must be named awk.exe . 

To build using the makefiles, you will need GNU make version 3.78.1 (GMake) available 
at http://developer.novell.com/ndk/apache.htm. 


Building Apache using the NetWare makefiles: 


Set the environment variable wovELLLIBC to the location of the NetWare Libraries for C 
SDK, for example: 


Set NOVELLLIBC=c: \novell\ndk\libc 


Set the environment variable wErRowERks to the location where you installed the 
Metrowerks CodeWarrior compiler, for example: 


Set METROWERKS=C:\Program Files\Metrowerks\CodeWarrior 


If you installed to the default location c:\Program Files\Metrowerks\CodeWarrior , YOU 
don't need to set this. 


Set the environment variable Loapspk to the location where you installed the LDAP 
Libraries for C, for example: 


Set LDAPSDK-c:NNovellNNDKNcldapsdkNNetWareNlibc 


Set the environment variable ZzLIBSsDKk to the location where you installed the source 
code for the ZLib Library, for example: 


Set ZLIBSDK-D:NNOVELLNz1lib 


Set the environment variable AP wonk to the full path of the httpd source code 
directory. 


Set AP WORK-D:'httpd-2.0.x 


e Set the environment variable APR wonk to the full path of the apr source code 
directory. Typically \httpd\srclib\apr but the APR project can be outside of the httpd 
directory structure. 


Set APR WORK-D:'Napr-1.x.x 


e Set the environment variable apu_work to the full path of the apr-util source code 
directory. Typically \httpd\srclib\apr-util but the APR-UTIL project can be outside of 
the httpd directory structure. 


Set APU_WORK=D: \apr-util-1.x.x 


e Make sure that the path to the AWK utility and the GNU make utility ( gmake.exe ) have 
been included in the system's PATH environment variable. 


e Download the source code and unzip to an appropriate directory on your workstation. 
e Change directory to \httpd-2.0 and build the prebuild utilities by running 
" gmake -f nwgnumakefile prebuild ". This target will create the directory 
\httpd-2.@\nwprebuild and copy each of the utilities to this location that are necessary 
to complete the following build steps. 
e Copy the files 
Mhttpd-2.0NnwprebuildNGENCHARS.nlm 和 Nhttpd-2.0NnwprebuildNDFTABLES.nlm to the 


sys: volume of a NetWare server and run them using the following commands: 


SYS:Ngenchars &gt; sys:Ntest char.h 


SYS:Ndftables sys:\chartables.c 


e Copy the files test char.h 和 chartables.c to the directory \httpd-2.0\os\netware On 
the build machine. 


e Change directory to \httpd-2.0 and build Apache by running 


' gmake -f nwgnumakefile ". You can create a distribution directory by adding an install 
parameter to the command, for example: 


gmake -f nwgnumakefile install 


Additional make options 


*  gmake -f nwgnumakefile 


Builds release versions of all of the binaries and copies them to a \release destination 
directory. 


*  gmake -f nwgnumakefile DEBUG-1 


Builds debug versions of all of the binaries and copies them toa \debug destination 
directory. 


* gmake -f nwgnumakefile install 


Creates a complete Apache distribution with binaries, docs and additional support files 
in à \dist\Apache2 directory. 


* gmake -f nwgnumakefile prebuild 
Builds all of the prebuild utilities and copies them to the \nwprebuild directory. 
*  gmake -f nwgnumakefile installdev 


Same as install but also creates a \lib 和 \include directory in the destination 
directory and copies headers and import files. 


*  gmake -f nwgnumakefile clean 


Cleans all object files and binaries from the \release.o 或 \debug.o build areas 
depending on whether pegue has been defined. 


* gmake -f nwgnumakefile clobber all 


Same as clean and also deletes the distribution directory if it exists. 


Additional environment variable options 
e To build all of the experimental modules, set the environment variable EXPERIMENTAL : 


Set EXPERIMENTAL-1 


e To build Apache using standard BSD style sockets rather than Winsock, set the 


environment variable usE sTDSOCKETS : 


Set USE STDSOCKETS-1 


Building mod ssl for the NetWare platform 


By default Apache for NetWare uses the built-in module mod nw ssi to provide SSL 
services. This module simply enables the native SSL services implemented in NetWare OS 
to handle all encryption for a given port. Alternatively, mod ssl can also be used in the same 
manner as on other platforms. 


Before mod ssl can be built for the NetWare platform, the OpenSSL libraries must be 


provided. This can be done through the following steps: 


Download the latest NetWare patch for OpenSSL from the OpenSSL Contribution page. 
Download the corresponding OpenSSL source code from the OpenSSL Source page. 
At the root of the OpenSSL source directory, apply the NetWare patch using the "patch" 
utility, for example: 


patch -p 1 -i netwarepatch-0.9.7g.diff 


Edit the file Netware/set env.bat and modify any tools and utilities paths so that they 
correspond to your build environment. 


From the root of the OpenSSL source directory, run the following scripts: 


Netware/set env netware-libc 


Netware/build netware-libc 


Before building Apache, set the environment variable ossLspk to the full path to the 
root of the openssl source code directory. 


Set OSSLSDK=d:\openssl-0.9.7x 


Running a High-Performance Web Server on 
HPUX 


Date: Wed, 05 Nov 1997 16:59:34 -0800 

From: Rick Jones «[rajQcup.hp.com](mailto:rajQcup.hp.com)» 
Reply-To: [raj@cup.hp.com](mailto:raj@cup.hp.com) 
Organization: Network Performance 

Subject: HP-UX tuning tips 


Here are some tuning tips for HP-UX to add to the tuning page. 
For HP-UX 9.X: Upgrade to 10.20 For HP-UX 10.[00|01|10]: Upgrade to 10.20 
For HP-UX 10.20: 


Install the latest cumulative ARPA Transport Patch. This will allow you to configure the size 

of the TCP connection lookup hash table. The default is 256 buckets and must be set to a 

power of two. This is accomplished with adb against the disc image of the kernel. The 

variable name is tcp hash size . Notice that it's critically important that you use " w " to write 

a 32 bit quantity, not " w " to write a 16 bit value when patching the disc image because the 
tcp hash size Variable is a 32 bit quantity. 


How to pick the value? Examine the output of 
ftp://ftp.cup.hp.com/dist/networking/tools/connhist and see how many total TCP connections 
exist on the system. You probably want that number divided by the hash table size to be 
reasonably small, say less than 10. Folks can look at HP's SPECweb96 disclosures for 
some common settings. These can be found at http://www.specbench.org/. If an HP-UX 
system was performing at 1000 SPECweb96 connections per second, the rrwE warr time 
of 60 seconds would mean 60,000 TCP "connections" being tracked. 


Folks can check their listen queue depths with 
ftp://ftp.cup.hp.com/dist/networking/misc/listenq. 


If folks are running Apache on a PA-8000 based system, they should consider "chatr'ing" the 
Apache executable to have a large page size. This would be" chatr +pi L &lt;BINARY&gt; " 
The GID of the running executable must have wLock privileges. setprivgrp(1m) should be 
consulted for assigning MLock . The change can be validated by running Glance and 
examining the memory regions of the server(s) to make sure that they show a non-trivial 


fraction of the text segment being locked. 


If folks are running Apache on MP systems, they might consider writing a small program that 
uses mpctl() to bind processes to processors. A simple pid % numcpu algorithm is 
probably sufficient. This might even go into the source code. 


If folks are concerned about the number of FIN warr 2 connections, they can use nettune 
to shrink the value of tcp keepstart . However, they should be careful there - certainly do 
not make it less than oh two to four minutes. If tcp hash size has been set well, it is 
probably OK to let the rr warr 2 's take longer to timeout (perhaps even the default two 
hours) - they will not on average have a big impact on performance. 


There are other things that could go into the code base, but that might be left for another 
email. Feel free to drop me a message if you or others are interested. 


sincerely, 
rick jones 


http://www.cup.hp.com/netperf/NetperfPage.html 


The Apache EBCDIC Port 


Warning: This document has not been updated to take into account changes made in the 
2.0 version of the Apache HTTP Server. Some of the information may still be relevant, but 
please use it with care. 


Overview of the Apache EBCDIC Port 


Version 1.3 of the Apache HTTP Server is the first version which includes a port to a (non- 
ASCII) mainframe machine which uses the EBCDIC character set as its native codeset. 


(It is the SIEMENS family of mainframes running the BS2000/OSD operating system. This 
mainframe OS nowadays features a SVR4-derived POSIX subsystem). 


The port was started initially to 


e prove the feasibility of porting the Apache HTTP server to this platform 

e find a "worthy and capable" successor for the venerable CERN-3.0 daemon (which was 
ported a couple of years ago), and to 

e prove that Apache's preforking process model can on this platform easily outperform the 
accept-fork-serve model used by CERN by a factor of 5 or more. 


This document serves as a rationale to describe some of the design decisions of the port to 
this machine. 


Design Goals 


One objective of the EBCDIC port was to maintain enough backwards compatibility with the 
(EBCDIC) CERN server to make the transition to the new server attractive and easy. This 
required the addition of a configurable method to define whether a HTML document was 
stored in ASCII (the only format accepted by the old server) or in EBCDIC (the native 
document format in the POSIX subsystem, and therefore the only realistic format in which 
the other POSIX tools like grep 或 sed could operate on the documents). The current 
solution to this is a "pseudo-MIME-format" which is intercepted and interpreted by the 
Apache server (see below). Future versions might solve the problem by defining an "ebcdic- 
handler" for all documents which must be converted. 


Technical Solution 


Since all Apache input and output is based upon the BUFF data type and its methods, the 
easiest solution was to add the conversion to the BUFF handling routines. The conversion 
must be settable at any time, so a BUFF flag was added which defines whether a BUFF 
object has currently enabled conversion or not. This flag is modified at several points in the 
HTTP protocol: 


e set before a request is received (because the request and the request header lines are 
always in ASCII format) 

e set/unset when the request body is received - depending on the content type of the 
request body (because the request body may contain ASCII text or a binary file) 

e set before a reply header is sent (because the response header lines are always in 
ASCII format) 

e set/unset when the response body is sent - depending on the content type of the 
response body (because the response body may contain text or a binary file) 


Porting Notes 


1. The relevant changes in the source are #ifdef "ed into two categories: 


**#ifdef CHARSET EBCDIC** 


Code which is needed for any EBCDIC based machine. This includes character 
translations, differences in contiguity of the two character sets, flags which indicate 
which part of the HTTP protocol has to be converted and which part doesn't etc. 


**#ifdef  OSD POSIX** 


Code which is needed for the SIEMENS BS2000/OSD mainframe platform only. This 
deals with include file differences and socket implementation topics which are only 
required on the BS2000/OSD platform. 


2. The possibility to translate between ASCII and EBCDIC at the socket level (on BS2000 
POSIX, there is a socket option which supports this) was intentionally not chosen, 
because the byte stream at the HTTP protocol level consists of a mixture of protocol 
related strings and non-protocol related raw file data. HTTP protocol strings are always 
encoded in ASCII (the cet request, any Header: lines, the chunking information etc.) 
whereas the file transfer parts (i.e., GIF images, CGI output efc.) should usually be just 
"passed through" by the server. This separation between "protocol string" and "raw 
data" is reflected in the server code by functions like bgets() 或 rvputs() for strings, 
and functions like bwrite() for binary data. A global translation of everything would 
therefore be inadequate. 


(In the case of text files of course, provisions must be made so that EBCDIC documents 
are always served in ASCII) 


3. This port therefore features a built-in protocol level conversion for the server-internal 
strings (which the compiler translated to EBCDIC strings) and thus for all server- 
generated documents. The hard coded ASCII escapes \o12 和 \o15 which are 
ubiquitous in the server code are an exception: they are already the binary encoding of 
the ASCII \n 和 \r and must not be converted to ASCII a second time. This exception 
is only relevant for server-generated strings; and external EBCDIC documents are not 
expected to contain ASCII newline characters. 


4. By examining the call hierarchy for the BUFF management routines, | added an 
"ebcdic/ascii conversion layer" which would be crossed on every puts/write/get/gets, 
and a conversion flag which allowed enabling/disabling the conversions on-the-fly. 
Usually, a document crosses this layer twice from its origin source (a file or CGI output) 
to its destination (the requesting client): file -agt; Apache ,and Apache -&gt; client . 


The server can now read the header lines of a CGl-script output in EBCDIC format, and 
then find out that the remainder of the script's output is in ASCII (like in the case of the 
output of a WWW Counter program: the document body contains a GIF image). All 
header processing is done in the native EBCDIC format; the server then determines, 
based on the type of document being served, whether the document body (except for 
the chunking information, of course) is in ASCII already or must be converted from 
EBCDIC. 


5. For Text documents (MIME types text/plain, text/html etc.), an implicit translation to 
ASCII can be used, or (if the users prefer to store some documents in raw ASCII form 
for faster serving, or because the files reside on a NFS-mounted directory tree) can be 
served without conversion. 


Example: 


to serve files with the suffix .ahtml as a raw ASCII text/html document without 
implicit conversion (and suffix .ascii as ASCII text/plain ), use the directives: 


AddType text/x-ascii-html  .ahtml 


AddType text/x-ascii-plain .ascii 


Similarly, any text/foo MIME type can be served as "raw ASCII" by configuring a 
MIME type " text/x-ascii-foo "forit using AddType . 


6. Non-text documents are always served "binary" without conversion. This seems to be 
the most sensible choice for, .例如 ，GIF/ZIP/AU file types. This of course requires the 
user to copy them to the mainframe host using the " rcp -b " binary switch. 


7. Server parsed files are always assumed to be in native (i.e., EBCDIC) format as used 
on the machine, and are converted after processing. 


8. For CGI output, the CGI script determines whether a conversion is needed or not: by 
setting the appropriate Content-Type, text files can be converted, or GIF output can be 
passed through unmodified. An example for the latter case is the wwwcount program 
which we ported as well. 


Document Storage Notes 


Binary Files 


All files with a Content-Type: which does not start with text/ are regarded as binary files 
by the server and are not subject to any conversion. Examples for binary files are GIF 
images, gzip-compressed files and the like. 


When exchanging binary files between the mainframe host and a Unix machine or Windows 
PC, be sure to use the ftp "binary" ( TYPE 1 ) command, or use the rcp -b command from 
the mainframe host (the -b switch is not supported in unix rcp 's). 


Text Documents 


The default assumption of the server is that Text Files (/.e., all files whose Content-Type: 
starts with text/ ) are stored in the native character set of the host, EBCDIC. 


Server Side Included Documents 


SSI documents must currently be stored in EBCDIC only. No provision is made to convert it 
from ASCII before processing. 


Apache Modules' Status 


Module Status Notes 
core + 
mod_authz_host 十 
mod actions T 
mod alias 十 
mod asis T 


mod auth basic 4 


mod authn file + 


mod_authn_anon 十 

mod authn dbm ? with own libdb.a 
mod autoindex 十 

mod cern meta ? 

mod cgi 十 

mod digest + 

mod_dir + 

mod_so - no shared libs 
mod env + 

mod_example : (test bed only) 
mod expires + 

mod_headers + 

mod_imagemap + 

mod_include + 

mod_info + 

mod_log_agent + 

mod_log_config 十 

mod mime T 

mod mime magic ? not ported yet 
mod negotiation 十 

mod_proxy 十 

mod_rewrite 十 untested 

mod setenvif + 

mod_speling + 

mod_status 十 

mod unique id + 

mod_userdir + 

mod_usertrack ? untested 


Third Party Modules' Status 


Module 


mod jserv 


mod php3 


mod put 


mod session 


Status 


Notes 
JAMA still being ported. 


mod php3 runs fine, with LDAP and GD and FreeType 
libraries. 


untested 


untested 


服务 器 和 支持 程序 


本 文 列 出 了 Apache HTTP 服 务 器 中 所 有 的 可 执行 程序 。 


RBI 


httpd 
Apache 超 文本 传输 协议 服务 器 
apachectl 
Apache HTTP 服 务 器 控制 接口 
ab 
Apache HTTP 服 务 器 性 能 测试 工具 
apxs 
APache 功 能 扩展 工具 
configure 
配置 源 代 码 树 
dbmmanage 
建立 和 更 新 DBM 形 式 的 基本 认证 文件 
htcacheclean 
清理 磁盘 缓冲 区 
htdigest 


建立 和 更 新 摘要 认证 文件 


htdbm 


操作 DBM 数 据 库 文件 


htpasswd 


建立 和 更 新 基本 认证 文件 


httxt2dbm 


创建 RewriteMap 指 使 需要 使 用 的 dbm 文 件 


logresolve 


将 Apache 日 志文 件 中 的 IP 地 址 解析 为 主机 名 


rotatelogs 


滚动 Apache 日 志 而 无 须 终止 服务 器 


为 Exec 切 换 用 P 
其 他 程序 
没有 单独 手册 页 面 的 支持 程序 


httpd - Apache 超 文本 传输 协议 服务 器 
httpd 是 Apache 超 文本 传输 协议 (HTTP) 服 务 器 的 主 程序 。 被 设计 为 一 个 独立 运行 的 后 台 进 
程 ， 它 会 建立 一 个 处 理 请 求 的 子 进程 或 线程 的 池 。 


通常 ， httpd 不 应 该 被 直接 调用 ， 而 应 该 在 类 Unix 和 有 系统 中 由 apachecti HA, FONIndows 
NT/2000/XP/2003 中 作为 服务 运行 和 在 Windows 95/98/ME 中 作为 控制 台 程 序 运 


* 
sN, 
BK 
**httpd** [ -**d** serverroot ] [ -**f** config ] [ -**C** directive ] [ -**c** directive 


在 中 Windows 系 统 ， 还 可 以 使 用 下 列 参数 : 


**httpd** [ -**k** install|config|uninstall ] [ -**n** name ] [ -**w** ] 


选项 
-d serverroot 


将 serverRoot 指令 设置 初始 值 为 serverroot。 它 可 以 被 配置 文件 中 的 serverRoot HAME 
瘟 。 其 默认 值 是 /usr/local/apache2 o 


-f config 


在 启动 中 使 用 config 作 为 配置 文件 。 如 果 config 不 以 "开头 ， 则 它 是 相对 于 serverRoot 的 路 
径 。 其 默认 值 是 conf/httpd.conf o 


-k  start|restart|graceful|stop|graceful-stop 
发 送信 号 使 httpd 启动 、 重 新 启动 或 停止 。 更 多 信息 请 参见 停止 Apache 。 
-C directive 


在 读 取 配 置 文件 之 前 ， 先 义理 directive 的 配置 指 今 


-C directive 


在 读 取 配 置 文件 之 后 ， 再 义理 directive 的 配置 指 今 


-D parameter 


置 参数 parameter ， 它 配合 配置 文件 中 的 <Ifpefine> 段 ， 用 于 在 服务 器 启动 和 重新 启 
有 条 件 地 跳 过 或 处 理 某 些 命 合 。 


-e level 


在 服务 器 启动 时 ， 设 置 LogLevel 为 level 。 它 用 于 在 和 启动 时 ， 临 时 增加 出 错 信 息 的 详细 程度 ， 
以 帮助 排 错 。 


-E file 

将 服务 器 启动 过 程 中 的 出 错 信息 发 送 到 文件 file 。 

-R directory 

当 在 服务 器 编译 中 使 用 了 sHaRED cor 规则 时 ， 它 指定 共享 目标 文件 的 目录 为 directory 。 
-h 

输出 一 个 可 用 的 命令 行 选 项 的 简要 说 明 。 

输出 一 个 静态 编译 在 服务 器 中 的 模块 的 列表 。 它 不 会 列 出 使 用 LoadModule 指令 动态 加 载 的 模 
Ro 

-L 

输出 一 个 指令 的 列表 ， 并 包含 了 各 指令 的 有 效 参数 和 使 用 区 域 。 

-M 

输出 一 个 已 经 启用 的 模块 列表 ， 包 括 静 态 编译 在 服务 器 中 的 模块 和 作为 DSO 动 态 加 载 的 模 
Ro 

-S 

显示 从 配置 文件 中 读 取 并 解析 的 设置 结果 (目前 仅 显 示 虚 拟 主机 的 设置 ) 

-t 


仅 对 配置 文件 执行 语法 检查 。 程 序 在 语法 解析 检查 结束 后 立即 退出 ， 或 者 返回 "0"(OK)， 或 者 
返回 非 0 的 值 (Error)。 如 果 还 指定 了 "-D DUMP _VHOSTS'"， 则 会 显示 虚拟 主机 配置 的 详细 信 
息 。 


-V 
显示 httpd 的 版 本 ， 然 后 退出 。 

-V 

显示 httpd 的 版 本 和 编译 参数 ， 然 后 退出 。 

-X 

以 调试 模式 运行 httpd 。 仅 启动 一 个 工作 进程 ， 并 且 服 务 器 不 与 控制 台 脱 离 。 
下 列 参 数 仅 用 于 Windows 平 台 : 


-k install|config|uninstall 


Ak Apache 7; — 7 Windows NT 的 服务 ; 改变 Apache 服 务 的 启动 方式 ; 删除 Apache 服 务 。 


-n name 


指定 Apache 服 务 的 名 称 为 name 


-W 


保持 打开 控制 台 窗 口 ， 使 得 可 以 阅读 出 错 信 息 。 


ab - Apache HTTP 服 务 器 性 能 测试 工具 


ab 是 Apache 超 文本 传输 协议 (HTTP) 的 性 能 测试 工具 。 其 设计 意图 是 描绘 当前 所 安装 的 
Apache 的 执行 性 能 ， 主 要 是 显示 你 安装 的 Apache 每 秒 可 以 处 理 多 少 个 请 求 。 


语法 


**ab** [ -**A** auth-username:password ] [ -**c** concurrency ] [ -**C** cookie-name-value 


选项 

-A auth-username: password 

向 服务 器 提供 基本 认证 信息 。 用 户 名 和 密码 之 间 由 一 个 " : " 隔 开 ， 并 将 被 以 base64 编 码 形式 
发 送 。 无 论 服务 器 是 否 需要 ( 即 是 否 发 送 了 401 认 证 需求 代码 )， 此 字符 串 都 会 被 发 送 。 

-C concurrency 

一 次 产生 的 请 求 个 数 。 上 默认 是 一 次 一 个 。 

-C cookie-name=value 

对 请 求 附 加 一 个 ”cookie:" 头 行 。 其 典型 形式 是 name=value 的 一 个 参数 对 。 此 参数 可 以 重 
复 。 

-d 

不 显示 "percentage served within XX [ms] table" 消 息 ( 为 以 前 的 版 本 提供 支持 )。 

-e csv-file 

产生 一 个 至 号 分 隔 (CSV) 文 件 ， 其 中 包含 了 处 理 每 个 相应 百分比 请 求 (从 1% 到 100%) 所 需要 的 


相应 百分比 时 间 ( 以 微 秒 为 单位 )。 由 于 这 种 格式 已 经 "二 进 制 化 "， 所 以 比 "gnuplot" 格 式 更 有 
用 。 


-g gnuplot-file 


把 所 有 测试 结果 写 入 一 个 "gnuplot" 或 者 TSV( 以 Tab 分 隔 ) 文 件 。 此 文件 可 以 方便 地 导入 到 
Gnuplot, IDL, Mathematica, Excel 中 。 其 中 的 第 一 行为 标题 。 


-h 
显示 使 用 方法 的 帮助 信息 。 


-H custom-header 


对 请 求 附加 额外 的 头 信息 。 此 参数 的 典型 形式 是 一 个 有 效 的 头 信息 行 ， 其 中 包含 了 以 冒号 分 
隔 的 字段 和 值 (如 : "Accept-Encoding: zip/zop;8bit" Jo 

-i 

执行 HEAD 请 求 ， 而 不 是 GET o 

-k 

启用 KeepAlive 功 能 ， 即 在 一 个 HTTP 会 话 中 执行 多 个 请 求 。 默 认 不 启用 KeepAlive 功 能 。 

-n requests 

在 测试 会 话 中 所 执行 的 请 求 个 数 。 默 认 仅 执行 一 个 请 求 ， 此 时 其 结果 不 具有 意义 。 

-p POST-file 

包含 了 POST 数据 的 文件 。 

-P proxy-auth-username: password 

对 一 个 中 转 代 理 提 供 基 本 认证 信息 。 用 户 名 和 密码 由 一 个 " : " 隔 开 ， 并 将 被 以 base64 编 码 形 
式 发 送 。 无 论 服务 器 是 否 需要 ( 即 是 否 发 送 了 407 代 理 认 证 需求 代码 )， 此 字符 串 都 会 被 发 送 。 
-9 

如 果 人 处 理 的 请 求 数 大 于 150， ab 每 处 理 大 约 10% 或 者 100 个 请 求 时 ， 会 在 stderr 输出 一 个 进 
度 计数 。 此 -q 标记 可 以 屏 殴 这 些 信息 。 

-S 

用 于 编译 中 ( ab -h 会 告诉 你 ) 使 用 了 SSL 的 受 保护 的 https ， 而 不 是 http 协议 的 时 候 。 此 
功能 是 实验 性 的 ， 最 好 不 要 用 。 

eS) 

不 显示 中 值 和 标准 偏差 值 ， 而 且 在 均值 和 中 值 为 标准 偏差 值 的 1 到 2 倍 时 ， 也 不 显示 警告 或 出 
错 信息 。 黑 认 时 ， 会 显示 最 小 值 /均值 /最 大 值 等 数值 。( 为 以 前 的 版 本 提供 支持 ) 

-t timelimit 

测试 所 进行 的 最 大 秒 数 。 内 部 隐 含 值 是 " -n 50000 "。 它 可 以 使 对 服务 器 的 测试 限制 在 一 个 固 
定 的 总 时 间 以 内 。 默 认 时 ， 没 有 时 间 限 制 。 

-T content-type 

POST 数据 时 所 使 用 的 "Content-type" 头 信息 。 


-v verbosity 


设置 显示 信息 的 详细 程度 ， 4 或 更 大 值 会 显示 头 信息 ， 3 或 更 大 值 可 以 显示 响应 代码 (404， 
200 等 )， 2 或 更 大 值 可 以 显示 警告 和 其 他 信息 。 


-V 


以 HTML 表 格 形式 输出 结果 。 默 认 时 ， 它 是 白色 背景 的 两 列 宽度 的 一 张 表 。 
-x &lt;table&gt;-attributes 

设置 «table» 属性 的 字符 串 。 此 属性 被 填 人 <table 这 里 > o 

-X proxy[:port] 

对 请 求 使 用 代理 服务 器 。 

-y &lt;tr&gt;-attributes 

设置 <tr> 属性 的 字符 串 。 

-z &lt;td&gt;-attributes 


设置 <td> 属性 的 字符 串 。 


Bugs 
程序 中 有 各 种 静态 声明 的 固定 长 度 的 缓冲 区 。 另 外， 对 命令 行 参 数 、 服 务 器 的 响应 头 和 其 他 
外 部 输入 的 解析 也 很 简单 ， 这 可 能 会 有 不 良 后 果 。 


没有 完整 实现 HTTP/1.x ; 仅 接 受 某 些 "预想 "的 响应 格式 。 strstr() 的 频繁 使 用 可 能 会 带 来 性 
能 问题 ， 即 你 可 能 是 在 测试 ab 而 不 是 服务 器 的 性 能 。 


apachectl - Apache HTTP 服 务 器 控制 接口 


apachect1 是 Apache HTTP 服 务 器 的 前 端 程序 。 其 设计 意图 是 帮助 管理 员 控 制 Apache 
httpd 后 台 守 护 进程 的 功能 。 


apachectl 脚本 有 两 种 操作 模式 。 首 先 ， 作 为 简单 的 httpd 的 前 端 程序 ， 设 置 所 有 必要 的 环 
境 变 量 ， 然 后 启动 httpd ， 并 传递 所 有 的 命令 行 参 数 。 其 次 ， 作 为 SysV 初 始 化 脚本 ， 接 受 简 
单 的 一 个 单词 的 参数 ， 如 : start, restart, stop ， 并 把 他 们 翻译 为 适当 的 信号 发 送 

给 httpd 。 


如 果 你 的 Apache 安 装 在 非 标准 的 路 径 中 ， 你 将 需要 修改 apachecti 脚本 使 其 中 的 路 径 正 确 地 
指向 httpd 程序 。 此 外 ， 还 可 以 指定 任何 必要 的 httpd 命令 行 参数 。 细 节 可 以 参见 脚本 中 的 
注解 。 


apachectl 脚本 如 果 执 行 成 功 ， 则 返回 0 ; 如 果 出 错 ， 则 其 返回 值 >0 。 更 多 细节 可 以 参见 脚 
本 中 的 注解 。 


语法 

在 扮演 传递 角色 时 ， apachectl 可 以 接受 对 httpd 程序 有 效 的 所 有 参数 。 
**apachectl** [ httpd-argument ] 

在 SysV 初 始 化 模式 中 ， apachectl 只 接受 简单 的 一 个 单词 的 命 售 ， 如 下 : 


**apachectl** command 


选项 


下 列 仅 说 明了 SysV 初 始 化 类 型 的 选项 ， 其 他 参数 的 说 明 见 httpd 手册 页 。 

start 

启动 Apache httpd 后 台 守 护 进程 。 如 果 已 经 启动 ， 则 产生 一 个 错误 。 它 等 价 于 
apachectl -k start o 


stop 


停止 Apache httpd 后 台 守 护 进 程 。 它 等 价 于 apachectl -k stop o 

restart 

重新 启动 Apache httpd 后 台 守 护 进程 。 如 果 守 护 进程 尚未 运行 ， 则 启动 它 。 在 重新 启动 守护 
进程 之 前 ， 此 命令 会 使 用 configtest 自动 检查 配置 文件 ， 以 确保 Apache 不 会 死 掉 。 它 等 价 于 


apachectl -k restart o 


fullstatus 


显示 由 mod status 提供 的 完整 的 状态 报告 。 要 使 用 这 个 功能 ， 需 要 启用 服务 器 上 
的 mod status 模块 ， 并 且 系 统 中 有 一 个 基于 文本 的 浏览 器 ， 如 lynx 。 修 改 脚 本 中 
的 STATUSURL 变量 ， 可 以 修改 访问 状态 报告 的 URL 。 


status 


显示 一 个 简要 的 状态 报告 。 它 类 似 于 fullstatus 选项 ， 但 是 省 略 了 正在 处 理 的 请 求 的 列表 。 
graceful 

优雅 地 重新 启动 Apache httpd 后 台 守 护 进程 。 如 果 守 护 进程 尚未 启动 ， 则 启动 它 。 它 和 标准 
重新 启动 的 不 同 之 处 在 于 : 不 会 中 断 当 前 已 经 打开 的 连接 ， 也 不 会 立即 关闭 日 志 。 这 意味 
着 ， 如 果 在 日 志 滚 动 脚 本 使 用 它 ， 则 在 处 理 日 志 之 前 必须 加 入 一 个 实 实在 在 的 延迟 ， 以 确保 
老 的 日 志文 件 在 被 处 理 前 已 经 关闭 。 在 重新 启动 守护 进程 之 前 ， 此 命令 会 使 用 configtest A 
动 检查 配置 文件 ， 以 确保 Apache 不 会 死 掉 。 它 等 价 于 apachect1 -k graceful o 


graceful-stop 

优雅 地 停止 Apache httpd 后 台 守 护 进程 。 它 和 标准 停止 的 不 同 之 处 在 于 : 不 会 中 断 当 前 已 经 
打开 的 连接 ， 也 不 会 立即 关闭 日 志 。 它 等 价 于 apachectl -k graceful-stop o 

configtest 

执行 一 次 配置 文件 语法 检查 。 它 解析 配置 文件 ， 并 报告 syntax ok 或 者 是 特定 的 语法 错误 详 
细 信 息 。 它 等 价 于 apachectl -t o 

下 列 选项 仅 在 早期 版 本 中 使 用 ， 现 在 已 经 被 废弃 了 。 

startssl 


以 支持 SSL 的 方式 启动 httpd ， 你 应 当 编 辑 配 置 文件 ， 并 在 其 中 包含 与 SL 支持 相关 的 指 
令 ， 然 后 使 用 apachectl start 启动 服务 器 。 


apxs - Apache 扩展 工具 


apxs 是 一 个 为 Apache HTTP 服 务 器 编译 和 安装 扩展 模块 的 工具 ， 用 于 编译 一 个 或 多 个 源 程 
序 或 目标 代码 文件 为 动态 共享 对 象 ， 使 之 可 以 用 由 mod so 提供 的 LoadModule 指令 在 运行 时 
加 载 到 Apache 服 务 器 中 。 


因此 ， 要 使 用 这 个 扩展 机 制 ， 你 的 平台 必须 支持 DSO 特 性 ， 而 且 Apache httpd 必须 内 建 
了 mod so 模块 。 apxs 工具 能 自动 探测 是 否 具 各 这 样 的 条 件 ， 你 也 可 以 自己 用 这 个 命令 手动 
探测 : 


$ httpd -1 


该 命令 的 输出 列表 中 应 该 有 mod so 模块 。 如 果 所 有 这 些 条 件 均 已 具备 ， 则 可 以 很 容易 地 借 
BY apxs 安装 你 自己 的 DSO 模 块 以 扩展 Apache 服 务 器 的 功能 : 


$ apxs -i -a -c mod foo.c 

gcc -fpic -DSHARED MODULE -I/path/to/apache/include -c mod foo.c 

ld -Bshareable -o mod foo.so mod foo.o 

cp mod foo.so /path/to/apache/modules/mod foo.so 

chmod 755 /path/to/apache/modules/mod foo.so 

[activating module 'foo' in /path/to/apache/etc/httpd.conf] 

$ apachectl restart 

/path/to/apache/sbin/apachectl restart: httpd not running, trying to start 
[Tue Mar 31 11:27:55 1998] [debug] mod so.c(303): loaded module foo module 
/path/to/apache/sbin/apachectl restart: httpd started 


$ _ 


其 中 的 参数 fles 可 以 是 任何 C 源 程序 文件 (.c)、 目 标 代 码 文件 (.o)、 基 至 是 一 个 库 (.a)。 apxs LI 
央 会 根据 其 后 级 自动 编译 C 源 程序 或 者 连接 目标 代码 和 库 。 但 是 ， 使 用 预 编译 的 目标 代码 时 ， 
必须 保证 它们 是 地 址 独立 代码 (PIC)， 使 之 能 被 动态 地 加 载 。 如 果 使 用 GCC 编译 ， 则 应 该 使 用 
-fpic 参数 ; 如 果 使 用 其 他 C 编 译 器 ， 则 应 该 查阅 其 手册 ， 为 apxs 使 用 相应 的 编译 参数 。 


有 关 Apache 对 DSO 的 支持 的 详细 信息 ， 可 以 阅读 mod so 文档 ， 或 者 直接 阅 


j£ src/modules/standard/mod_so.c 源 程序 。 


语法 


**apxs** -**g** [ -**S** name-value ] -**n** modname 


**apxs** -**g** [ -**S** name=value ] query ... 
**apxs** -**c** [ -**S** name=value ] [ -**o** dsofile ] [ -**I** incdir ] [ -**D** name=v 
**apxs** -**i** [ -**S** name=value ] [ -**n** modname ] [ -**a** ] [ -**A** ] dso-file .. 


**apxs** -**e** [ -**S** name=value ] [ -**n** modname ] [ -**a** ] [ -**A** ] dso-file .. 


-n modname 


它 明确 设置 了 -i (安装 ): 和 -9 (模板 生成 ) 选 项 的 模块 名 称 。 对 -9 选项 ， 它 是 必须 的 ; 对 
-i 选项， aps 工具 会 根据 源 代 码 判 断 ， 或 (在 失败 的 情况 下 ) 按 文件 名 推测 出 这 个 模块 的 名 
称 。 


查询 某 种 apxs 设置 的 信息 。 该 选项 的 query 参 数 可 以 是 下 列 一 个 或 多 个 字符 串 : cc ， 
CFLAGS , CFLAGS SHLIB , INCLUDEDIR , LD SHLIB , LDFLAGS SHLIB , LIBEXECDIR , LIBS SHLIB , 


SBINDIR , SYSCONFDIR , TARGET 。 
这 个 参数 用 于 手动 查询 某 些 设置 。 比 如 ， 要 手动 处 理 Apache 的 C 头 文件 ， 可 以 在 Makefile 中 使 
用 


INC--I'apxs -q INCLUDEDIR' 


Bie xt of 


-S name=value 


此 选项 可 以 改变 apxs 的 上 述 设置 。 


模板 生成 选项 


此 选项 生成 一 个 名 为 name 的 子 目录 ( 见 选项 -n ) 和 其 中 的 两 个 文件 : 一 个 是 名 
为 mod name.c 的 样板 模块 源 程序 ， 可 以 用 来 建立 你 自己 的 模块 ， 或 是 学 习 使 用 apxs 机 制 的 良 
好 开端 ; 另 一 个 则 是 对 应 的 makefile ， 用 于 编译 和 安装 此 模块 。 


DSO 编 译 选 项 


此 选项 表示 需要 执行 编译 操作 。 它 首先 会 编译 C 源 程序 (.c)files 为 对 应 的 目标 代码 文件 (.0)， 然 
后 连接 这 些 目标 代码 和 files 中 其 余 的 目标 代码 文件 (.o 和 .a)， 以 生成 动态 共享 对 象 dsofile 。 如 
果 没 有 指定 -o 选项 ， 则 此 输出 文件 名 由 files 中 的 第 一 个 文件 名 推测 得 到 ， 也 就 是 默认 


Jj mod name.so 。 

-o dsofile 

明确 指定 所 建立 的 动态 共享 对 象 的 文件 名 ， 它 不 能 从 files 文 件 列表 中 推测 得 到 。 如 果 没 有 明确 
指定 ， 则 其 文件 名 将 为 mod unknown.so 。 


-D name=value 


此 选项 直接 传递 到 给 编译 命令 ， 用 于 增加 自 定 义 的 编译 变量 。 
-I incdir 

此 选项 直接 传递 到 给 编译 命令 ， 用 于 增加 自 定 义 的 包含 目录 。 
-L libdir 

此 选项 直接 传递 到 给 连接 命令 ， 用 于 增加 自 定 义 的 库 文件 目录 。 
- libname 


此 选项 直接 传递 到 给 连接 命令 ， 用 于 增加 自 定义 的 库 文 件 。 

-Wc, compiler -flags 

此 选项 用 于 向 编译 命令 libtool --mode=compile 中 附加 compiler-flags ， 以 增加 编译 器 特有 的 
选项 。 

-W1, linker -flags 


此 选项 用 于 向 连接 命令 libtool --mode-link 中 附加 linker-flags ， 以 增加 连接 器 特有 的 选 


项 。 
DSO 的 安 季 和 配置 选项 
此 选项 表示 需要 执行 安装 操作 ， 以 安装 一 个 或 多 个 动态 共享 对 象 到 服务 器 的 modules 目 录 中 。 


-a 


此 选项 自动 增加 一 个 LoadModule 行 到 httpd.conf 文件 中 ， 以 激活 此 模块 ， 或 者 ， 如 果 此 行 已 
经 存在 ， 则 雇用 之 。 


-A 


与 -a 选项 类 似 ， 但 是 它 增 加 的 Loadwodule fB 44H — T 375 BUZR( # )， 即 此 模块 已 经 准备 就 
绪 但 尚未 启用 。 


2e 


表示 需要 执行 编辑 操作 ， 它 可 以 与 -a 和 -A 选项 配合 使 用 ， 与 -i 操作 类 似 ， 修 改 
Apache 的 nttpd.conf 文件 ， 但 是 并 不 安装 此 模块 。 


举例 


假设 有 一 个 扩展 Apache 功 能 的 模块 mod foo.c ， 使 用 下 列 命令 ， 可 以 将 C 源 程序 编译 为 共享 
模块 ， 以 在 运行 时 加 载 到 Apache 服 务 器 中 : 


$ apxs -c mod foo.c 


/path/to/libtool --mode-compile gcc ... -c mod foo.c 
/path/to/libtool --mode-link gcc ... -o mod foo.la mod foo.slo 
$ _ 


然后 ， 必 须 修 改 Apache 的 配置 ， 以 确保 有 一 个 Loadwodule 指令 来 加 载 此 共享 对 象 。 为 了 简化 
一 步骤 ， apxs 可 以 自动 进行 该 操作 ， 以 安装 此 共享 对 象 到 "modules" 目 录 ， 并 更 
新 httpd.conf LF, MAAF : 


$ apxs -i -a mod_foo.la 

/path/to/instdso.sh mod foo.la /path/to/apache/modules 
/path/to/libtool --mode-install cp mod foo.la /path/to/apache/modules 
chmod 755 /path/to/apache/modules/mod foo.so 

[activating module 'foo' in /path/to/apache/conf/httpd.conf] 


$ _ 


如 果 配 置 文件 中 尚 不 存在 ， 会 增加 下 列 的 行 : 


LoadModule foo module modules/mod _ foo .so 


如 果 你 希望 默认 禁用 此 模块 ， 可 以 使 用 -a 选项 BD: 


$ apxs -i -A mod foo.c 


要 快速 测试 apxs 机 制 ， 可 以 建立 一 个 Apache 模 块 样板 及 其 对 应 的 Makefile : 


$ apxs -g -n foo 

Creating [DIR] foo 

Creating [FILE] foo/Makefile 
Creating [FILE] foo/modules.mk 
Creating [FILE] foo/mod foo.c 
Creating [FILE] foo/.deps 


$ _ 


然后 ， 立 即 可 以 编译 此 样板 模块 为 共享 对 象 并 加 载 到 Apache 服 务 器 中 : 


$ cd foo 

$ make all reload 

apxs -c mod foo.c 

/path/to/libtool --mode=compile gcc ... -c mod foo.c 

/path/to/libtool --mode-link gcc ... -o mod foo.la mod foo.slo 

apxs -i -a -n "foo" mod foo.1la 

/path/to/instdso.sh mod foo.la /path/to/apache/modules 

/path/to/libtool --mode-install cp mod foo.la /path/to/apache/modules 
chmod 755 /path/to/apache/modules/mod foo.so 

[activating module 'foo' in /path/to/apache/conf/httpd.conf] 

apachectl restart 

/path/to/apache/sbin/apachectl restart: httpd not running, trying to start 
[Tue Mar 31 11:27:55 1998] [debug] mod so.c(303): loaded module foo module 
/path/to/apache/sbin/apachectl restart: httpd started 


$ _ 


configure - 配置 源 代 码 树 


configure 脚本 配置 Apache 的 源 代 码 树 并 且 将 其 安装 到 指定 的 平台 上 。 丰 富 的 选项 允许 你 根 
据 自己 的 特定 状况 和 特定 需求 对 Apache 进 行 定制 。 


这 个 脚本 位 于 源 代码 树 的 根 目 录 下 ， 并 且 只 能 用 于 类 Unix 操 作 系 统 。 要 了 解 其 他 平台 的 信 
息 ， 参 见 : 针对 特定 平台 的 说 明文 档 。 


语法 


你 必须 在 源 代码 树 的 根 目 录 下 调用 configure 脚本 ， 语 法 如 下 : 


**./configure** [OPTION]... [VAR=VALUE]... 


若 要 指定 环境 变量 (比如 : cc, crass ...)， 请 使 用 vAR=vALUE 的 格式 。 下 面 有 一 些 有 用 的 
环境 变量 说 明 。 


。 配置 选项 
。 安装 目录 


e 传递 给 apr-config 脚本 的 选项 
e 特殊 程序 包 选 项 
e 支持 程序 选项 


下 列 选项 会 影响 configure 脚本 自身 的 行为 。 方 括号 "由 " 内 是 默认 值 。 
-C 

- -config-cache 

ST --cache-file=config.cache 

--cache-file-FILE 

在 FILE 文 件 中 缓存 测试 结果 (默认 茶 用 )。 


-h 


--help [short|recursive] 


显示 帮助 信息 然后 退出 。 使 用 short 参数 将 只 显示 正在 运行 的 当前 脚本 的 选项 ， 而 不 能 列 出 
适用 于 Apache 配 置 脚本 所 运行 的 外 部 配置 脚本 的 选项 。 使 用 recursive 参数 将 显示 所 有 程序 
包 的 简短 描述 。 


-n 
--no-create 
configure 脚本 运行 结束 后 不 输出 结果 文件 ， 常 用 于 正式 编译 前 的 测试 。 
-q 
- -quiet 
不 显示 脚本 工作 期 间 输 出 的 " checking ... "消息 。 
--srcdir=DIR 
指定 源 代码 所 在 目录 DIR 。[configure 脚 本 所 在 目录 或 父 目 录 ] 
--silent 
等 价 于 --quiet 
-V 
--version 


显示 版 权 信 息 后 退出 。 


RRA K 


这 些 选 项 控制 着 安装 目录 的 结构 。 安 装 目录 的 结构 取决 于 所 选择 的 布局 。 方 括号 "中 内 是 默认 
值 。 

--prefix-PREFIX 
体系 无 关 文 件 的 顶级 安装 目录 PREFIX , 也 就 Apache 的 安装 目 录 。[ /usr/local/apache2 | 


--exec-prefix-EPREFIX 


体系 相关 文件 的 顶级 安装 目录 EPREFIX ， 把 体系 相关 的 文件 安装 到 不 同 的 位 置 可 以 方便 地 在 
不 同 主机 之 间 共 享 体系 相关 的 文件 。[PREFIX] 


默认 情况 下 ， make install 将 会 把 所 有 文件 分 别 安装 到 /usr/local/apache2/bin , 
/usr/local/apache2/1lib 目录 下 。 可 以 用 --prefix 指定 一 个 不 同 于 /usr/local/apache2 的 
安装 前 级 ， 比 如 : --prefix=$HOME o 

mo 、 

定义 一 个 目录 布局 


--enable-layout-LAYOUT 


使 用 名 为 LAYOUT 的 布局 配置 所 有 源 代码 和 编译 脚本 。 这 样 就 允许 你 在 安装 Apache 时 分 别 指 
定 不 同文 件 的 安装 位 置 。 <a class="pcalibre1 pcalibre"&gt;config.layout&lt;/a» 文件 中 包含 
了 默认 布局 的 示例 ， 你 可 以 根据 它 创 建 你 自己 的 布局 。 这 个 文件 中 的 不 同 布局 使 

FH «Layout Foo&gt;...&lt;/Layout> 段 进 行 分 组 ， 其 中 的 Foo 就 是 布局 名 。 默 认 的 布局 


是 Apache o 

安装 目录 微调 

可 以 使 用 下 面 的 选项 微调 安装 目录 。 下 列 选 项 的 默认 值 由 autoconf 自动 设置 并 在 方 括号 "由 "内 
说 明 。 

--bindir-DIR 


用 户 可 执行 目录 DIR 。 用 于 存放 对 网 站 管理 员 很 有 帮助 的 htpasswd, dbmmanage 之 类 的 支持 
程序 。 [ EPREFIX/bin ] 


--datadir=DIR 


Web 服 务 器 只 读 的 体系 无 关 数 据 目 录 DIR 。 虽然 autoconf 提供 了 该 选项 ， 但 Apache 并 未 使 用 


To [ PREFIX/share ] 
--includedir-DIR 
Apache 的 C 头 文件 目录 DIR 。 [ EPREFIX/include ] 
--infodir=DIR 
信息 文档 目录 DIR 。 虽然 autoconf 提供 了 该 选项 ， 但 Apache 并 未 使 用 它 。 [ PREFIX/info ] 
--libdir-DIR 
对 象 代码 库 目 录 DIR 。 [ EPREFIX/lib ] 
--libexecdir-DIR 


程序 可 执行 目录 DIR ， 也 就 是 动态 加 载 模块 目录 。 [ EPREFIX/libexec ] 


--localstatedir-DIR 


可 写 的 单一 机 器 数据 目录 DIR 。 虽然 autoconf 提供 了 该 选项 ， 但 Apache 并 未 使 用 它 。 


[ PREFIX/var ] 


--mandir=DIR 


手册 文档 目录 DIR 。 [ EPREFIX/man ] 


--oldincludedir-DIR 


非 gcc 的 C 头 文件 目录 DIR 。 虽 然 autoconf 提供 了 该 选项 ， 但 Apache 并 未 使 用 它 。 
[ /usr/include ] 


--sbindir=DIR 


系统 管理 员 可 执行 目录 DIR ， 用 于 存放 运行 HTTP 服 务 器 所 必须 的 httpd, apachectl , 
suexec 之 类 的 服务 程序 。 [ EPREFIX/sbin ] 


--sharedstatedir=DIR 


可 写 的 体系 无 关 数 据 目 录 DIR 。 虽然 autoconf 提供 了 该 选项 ， 但 Apache 并 未 使 用 它 。 


[ PREFIX/com ] 


--sysconfdir-DIR 


只 读 的 单一 机 器 数据 目 录 DIR ， 用 于 存放 httpd.conf 和 mime.types 之 类 的 服务 器 配置 文件 。 


[ PREFIX/etc ] 


系统 类 型 


这 些 选项 用 于 交叉 编译 在 其 他 平台 上 运行 的 Apache HTTP 服务器。 在 同一 平台 上 编译 和 运行 
Apache HTTP 服 务 器 通常 不 需要 使 用 这 些 选 项 ， 脚 本 会 自动 检测 并 设置 。 方 括号 "[]" 内 是 默认 
值 。 

--build=BUILD 

指定 编译 工具 所 在 系统 的 系统 类 型 BUILD 。 [ config.guess 脚本 的 检测 结果 ] 

--host=HOST 

指定 Apache HTTP 服 务 器 将 要 运行 的 目标 系统 类 型 HOST [BUILD] 


--target=TARGET 


configure for building compilers for TARGET 类 型 的 系统 。 虽然 autoconf 提供 了 该 选项 ， 但 
Apache 并 未 使 用 它 。 [HOST] 


模块 选项 


有 两 种 使 用 模块 的 方法 : 一 是 静态 连接 进 核心 ， 二 是 作为 DSO 模 块 动态 加 载 ; 如 果 编 译 中 包 
含 任何 DSO 模 块 ， 则 mod_so 会 被 自动 包含 进 核 心 。 如 果 希 望 核心 能 够 装载 DSO， 但 不 实际 编 
译 任何 DSO 模 块 ， 则 需 明 确 指定 "--enable-so=static"。 

一 般 语 法 

一 般 情况 下 你 可 以 使 用 如 下 语法 启用 或 者 禁用 某 个 模块 : 


--disable-MODULE 


禁用 MODULE 模 块 ( 仅 用 于 基本 模块 ) 


--enable-MODULE=shared 


将 MODULE 编 译 为 DSO( 可 用 于 所 有 模块 ) 


--enable-MODULE-static 


将 MODULE 静 态 连 接 进 核心 ( 仅 用 于 扩展 和 实验 模块 ) 


--enable-mods-shared=MODULE-LIST 


将 MODULE-LIST 中 的 所 有 模块 都 编译 成 DSO( 可 用 于 所 有 模块 ) 


--enable-modules=MODULE-LIST 
将 MODULE-LIST 静 态 连 接 进 核心 (可 用 于 所 有 模块 ) 


xk MODULE-LIST 可 以 是 : (1) 用 引号 界定 并 且 用 空格 分 隔 的 模块 名 列表 


--enable-mods-shared='headers rewrite dav' 


(2)" most "CK A MB) (3)" all "(所 有 模块 ) 


--enable-mods-shared=most 


sy ate 
7 AK 


configure 将 忽略 MODULE 和 MODULE-LIST 中 的 拼写 错误 ， 注 意 仔 细 拼 写 。 用 于 MODULE 
和 MODULE-LIST 中 的 名 称 是 " mod «var class="calibre27">NAME</var> "中 去 掉 " moa | "JETER 
余部 分 中 的 下 划 线 " _" 奉 换 为 连 字 符 ”- "以 后 的 结果 ， 上 比如 " mod_log_config "模块 应 当 表示 
A"log-contig". 


模块 列表 
基本 (B) 模 块 默认 包含 ， 必 须 明确 蔡 用 ; 扩展 (E)/ 实 验 (X) 模 块 默认 不 包含 ， 必 须 明 确 启用 。 


| 模块 名 称 | 状态 | 简要 描述 || mod actions | (B)]| 基于 媒体 类 型 或 请 求 方法 ， 为 执行 CGI 脚 
本 而 提供 || mod alias | (B) | 提供 从 文件 系统 的 不 同 部 分 到 文档 树 的 映射 和 URL 重 定向 | | 
mod asis | (B) | 发 送 自己 包含 HTTP 头 内 容 的 文件 | | mod auth basic | (B) | 使 用 基本 认证 | | 
mod authn default | (B) | 在 未 正确 配置 认证 模块 的 情况 下 简单 拒绝 一 切 认 证 信息 | | 

mod authn file | (B) | 使 用 纯 文 本 文件 为 认证 提供 支持 || mod_authz_default | (B) | ÆRE 
确 配 置 授权 支持 模块 的 情况 下 简单 拒绝 一 切 授权 请 求 || mod_authz_groupfile | (B) | 使 用 纯 文 
本 文件 为 组 提供 授权 支持 | | mod_authz_nost | (B) | 供 基于 主机 名 、IP 地 址 、 请 求 特征 的 访问 
控制 | | mod_authz_user | (B) | 基于 每 个 用 户 提供 授权 支持 | | mod_autoindex | (B) | 自动 对 目 
录 中 的 内 容 生成 列表 ， 类 似 于 "ls" 或 "dir" 命 令 || mod_cgi | (B) | 在 非 线程 型 MPM( prefork ) 上 
提供 对 CGI 脚本 执行 的 支持 | | mod_cgid | (B) | 在 线程 型 MPM( worker ) 上 用 一 个 外 部 CGI 守 
护 进程 执行 CGI 脚本 || moa dir | (B) | 指定 目录 索引 文件 以 及 为 目录 提供 " 尾 斜 杠 " 重 定向 | 
mod env | (B) | 允许 Apache 修 改 或 清除 传送 到 CGI 脚本 和 SSI 页 面 的 环境 变量 | | mod filter 

| (B) | 根据 上 下 文 实际 情况 对 输出 过 滤器 进行 动态 配置 || mod imagemap | (B) | 处 理 服务 器 端 
图 像 映 射 | | mod include |(B) | 实现 服务 端 包 含 文档 (SSI1) 处 理 || mod isapi | (B) | 信 限 于 在 


Windows 平 台 上 实现 ISAPI 扩 展 | | mod_log_config | (B)| 允许 记录 日 志和 定制 日 志文 件 格式 | 
| mod mime | (B) | 根据 文件 扩展 名 决定 应 答 的 行为 (处 理 器 /过 滤器 ) 和 内 容 (MIME 类 型 /语言 / 字 
符 集 /编码 ) | | mod negotiation | (B)| 提供 内 容 协 两 支持 || mod nw ssi | (B)| 仅 限于 在 
NetWare 平 台 上 实现 SSL 加 密 支持 | | mod_setenvif | (B)| 根据 客户 端 请 求 头 字段 设置 环境 变 
= || mod status | (B) | 生成 描述 服务 器 状态 的 Web 页 面 | | mod_userdir | (B) | 允许 用 户 从 自 
己 的 主 目录 中 提供 页 面 (使 用 "/~username") | | mod auth digest | (X) | 使 用 MD5 摘 要 认证 (更 
安全 ， 但 是 只 有 最 新 的 浏览 器 才 支 持 ) || mod authn alias | (E) | 基于 实际 认证 支持 者 创建 扩 
展 的 认证 支持 者 ， 并 为 它 起 一 个 别名 以 便于 引用 | | mod_authn_anon | (E) | 提供 匿名 用 户 认证 
支持 | | mod_authn_dbd | (E) | 使 用 SQL 数据 库 为 认证 提供 支持 || mod_authn_dbm | (E) | 使 用 
DBM 数 据 库 为 认证 提供 支持 | | mod authnz 1dap | (E) | 人 允许 使 用 一 个 LDAP 目 录 存 储 用 户 名 和 
密码 数据 库 来 执行 基本 认证 和 授权 | | mod authz dbm | (E) | 使 用 DBM 数 据 库 文件 为 组 提供 授 
4 324% | | mod_authz_owner | (E) | 基于 文件 的 所 有 者 进行 授权 || mod cache | (E) | 基于 URI 键 
的 内 容 动 态 缓冲 (内 存 或 磁盘 ) || mod_cern_meta | (E) | 允许 Apache 使 用 CERN httpd 元 文件 ， 
从 而 可 以 在 发 送 文件 时 对 头 进 行 修改 | | mod charset lite | (X) | 允许 对 页 面 进行 字符 集 转 换 | 
| mod dav | (E) | 允许 Apache 提 供 DAV 协 议 支 持 || mod dav fs | (E) | 为 mod dav 访问 服务 器 
上 的 文件 系统 提供 支持 || mod_dav_lock | (E) | 为 mod_dav 锁定 服务 器 上 的 文件 提供 支持 | 
mod dbd | (E) | 管理 SQL 数据 库 连 接 ， 为 需要 数据 库 功 能 的 模块 提供 支持 || mod_deflate | 
(E) | 压缩 发 送 给 客户 端的 内 容 || mod disk cache | (E) | 基于 磁盘 的 缓冲 管理 器 | | 

mod_dumpio | (E) | 将 所 有 I/O 操 作 转 储 到 错误 日 志 中 | | mod_echo | (X) | 一 个 很 简 单 的 协议 演 
示 模 块 | | mod_example | (X) | 一 个 很 简单 的 Apache 模 块 API 演 示 模 块 | | mod expires | (E) | 
允许 通过 配置 文件 控制 HTTP 的 " Expires: "AI" cache-control: "KAK || mod ext filter | 
(E) | 使 用 外 部 程序 作为 过 滤器 | | mod_file_cache | (X) | 提供 文件 描述 符 缓 存 支持 ， 从 而 提高 
Apache 性 能 | | mod headers | (E) | 允许 通过 配置 文件 控制 任意 的 HTTP 请 求 和 应 答 头 信息 | | 
mod ident | (E) | 实现 RFC1413 规 定 的 ident 查 找 || mod info | (E) | 生成 Apache 配 置 情 况 的 
Web 页 面 | | mod_ldap |(E) | 为 其 它 LDAP 模 块 提供 LDAP 连 接 池 和 结果 缓冲 服务 | | 

mod log forensic | (E) | 实现 "对 比 日 志 "， 即 在 请 求 被 处 理 之 前 和 义理 完成 之 后 进行 两 次 记录 
|| mod_logio | (E) | 对 每 个 请 求 的 输入 /输出 字 节 数 以 及 HTTP 头 进行 日 志 记 录 | | 

mod mem cache | (E) | 基于 内 存 的 缓冲 管理 器 || mod mime magic |(E)| 通过 读 取 部 分 文件 内 
容 自动 犹 测 文件 的 MIME 类 型 | | moa proxy. | (E) | 提供 HTTP/1.1 的 代理 /网 关 功 能 支持 | | 

mod proxy ajp |(E)| mod proxy 的 扩展 ， 提 供 Apache JServ Protocol 支 持 | | 

mod proxy balancer | (E) | mod proxy 的 扩展 ， 提 供 负载 平衡 支持 | | mod proxy connect |(E) 
| mod proxy 的 扩展 ， 提 供 对 义理 HTTP connect 方法 的 支持 | | mod proxy. ftp | (E) | 

mod proxy 的 FTP 支 持 模 块 | | mod proxy http |(E)| mod proxy 的 HTTP 支 持 模 块 | | 
mod_rewrite | (E) | 一 个 基于 一 定 规则 的 实时 重 写 URL 请 求 的 引擎 | | mod_so | (E) | 允许 运行 
时 加 载 DSO 模 块 || mod_speling | (E) | 自动 纠正 URL 中 的 拼写 错误 || mod ssi | (E) | 使 用 安 
全 套 接 字 层 (SSL) 和 传输 层 安全 (TLS) 协 议 实 现 高 强度 加 密 传输 | | mod_suexec | (E) | 使 用 与 调 
用 web 服 务 器 的 用 户 不 同 的 用 户 身 份 来 运行 CGI 和 SSI 程 序 | | mod_unique_id | (E) | 为 每 个 请 
求生 成 唯一 的 标识 以 便 跟踪 || mod usertrack |(E)| 使 用 Session 跟 踪 用 户 (会 发 送 很 多 
Cookie)， 以 记录 用 户 的 点 击 流 || mod version | (E) | 提供 基于 版 本 的 配置 段 支 持 | 

mod vhost alias | (E) | 提供 大 批量 虚拟 主机 的 动态 配置 支持 | 


多 路 处 理 模块 (MPM) 
必须 有 而 且 只 能 有 一 个 MPM 被 静态 包含 进 核心 ， 你 可 以 使 用 下 面 的 配置 选项 进行 选择 : 
- -with-mpm-MPM 


其 中 ， MPM 是 你 想 要 使 用 的 多 路 义理 模块 的 名 字 。 如 果 你 不 使 用 这 个 选项 ， 那 么 将 会 使 用 对 
应 于 各 平台 的 默认 MPM， 可 选 的 MPM 如 下 : beos, mpmt_os2 ，prefork , worker 


第 三 方 模块 

有 至 少 两 种 方法 可 以 添加 第 三 方 模块 ， 最 简单 的 方法 是 作为 配置 参数 提供 ， 语 法 如 下 : 
--with-module=module-type:module-file[, module-type:module-file] 

module-file 是 模块 的 源 代 码 文件 名 ， 该 文件 必须 位 于 Apahe 源 代码 目录 树 

的 " modules/module-type "目录 下 ， 如 果 configure 没有 在 那里 找到 module-file ， 则 将 它 看 作 
一 个 绝对 路 径 名 并 党 斌 将 其 复制 到 "modules/module-type "目录 中 ， 如 

果 " modules/module-type "目录 不 存在 ， configure 将 新 建 一 个 " modules/module-type "目录 并 
在 其 中 放置 一 个 标准 的 Makefile.in 文件 。 这 种 方法 有 两 个 明显 的 缺陷 : 


1， 模块 的 源 代码 必须 是 单一 文件 
2. 模块 只 能 静态 连接 进 核 心 ， 而 不 能 作为 DSO 模 块 


所 以 一 般 并 不 使 用 此 方法 ， 而 是 使 用 apxs (Apache 扩 展 工具 ) 来 添加 第 三 方 模块 支持 。 


杂项 


N 


选项 

--enable-nonportable-atomics 

若 只 打算 在 486 以 上 的 CPU 上 运行 Apache ， 那 么 使 用 该 选项 可 以 启用 更 加 高 效 的 基于 互 斥 执 
行 的 原子 操作 。 

--enable-v4-mapped 

使 用 相同 的 套 接 字 同时 义理 IPv4 和 1IPv6 的 连接 ， 也 就 是 启用 地 址 映射 。 在 FreeBSD、 
NetBSD、OpenBSD 以 外 的 平台 上 是 默认 值 。 


--disable-v4-mapped 


使 用 不 同 的 套 接 字 分 别处 理 IPv4 和 IPv6 的 连接 ， 也 就 是 禁用 地 址 上 映射。 在 FreeBSD、 
NetBSD、OpenBSD 上 是 默认 值 。 


--enable-maintainer-mode 


使 用 所 有 警告 和 调试 符号 编译 源 代 码 ， 请 勿 用 于 正式 服务 器 ， 它 会 影响 性 能 。 


--enable-exception-hook 


允许 在 子 进程 崩溃 以 后 启用 一 个 钧 子 来 运行 异常 义理 程序 。 参 见 EnableExceptionHook 指令 


--with-port=PORT 


设 定 httpd 的 默认 的 监听 端口 [默认 为 : 80]， 该 值 仅 在 生成 默认 配置 文件 httpd.conf 时 使 
用 。 
--with-program-name=NAME 


指定 可 执行 程序 的 名 字 [ 默 认为 : httpd ]， 若 使 用 此 选项 则 默认 配置 文件 的 名 字 将 同时 变 
成 "NAME.conf"。 


传递 给 apr-config 脚本 的 选项 

译 者 注 : 下 述 三 个 选项 并 未 出 现在 官方 手册 中 ， 译 者 不 保证 其 真实 性 ， 译 者 本 人 亦 未 使 用 
过 ， 仅 供 有 兴趣 的 玩家 参考 。 

--disable-threads 

禁用 线程 支持 ， 如 果 不 使 用 线程 化 的 MPM ， 可 以 关闭 它 以 减少 系统 开销 。 

--disable-ipv6 

禁用 IPv6 支 持 


--disable-dso 


禁用 DSO 支 持 


特殊 程序 包 选 项 


这 些 指令 用 于 定义 特殊 程序 包 相 关 的 选项 。 
--with-apr-DIR|FILE 
Apache 可 移植 运行 时 (APR) 是 httpd 源 码 的 一 部 分 并 会 自动 与 httpd 一 起 创建 。 如 果 你 想 使 用 一 


个 已 经 存在 的 APR ， 就 必须 在 这 里 指定 apr-config 脚本 的 路 径 。 可 以 使 用 此 脚本 的 绝对 路 径 
或 已 有 的 APR 安 装 目录 ( apr-config 必须 位 于 此 目录 或 者 其 下 的 " bin " 子 目 录 中 )。 


--with-apr-util-DIR|FILE 
Apache 可 移植 运行 时 工具 包 (APU) 是 httpd 源 码 的 一 部 分 并 会 自动 与 httpd 一 起 创建 。 如 果 你 想 


使 用 一 个 已 经 存在 的 APU ， 就 必须 在 这 里 指定 apu-config 脚本 的 路 径 。 可 以 使 用 此 脚本 的 绝 
对 路 径 或 已 有 的 APU 安 装 目录 ( apu-config 必须 位 于 此 目录 或 者 其 下 的 " bin " 子 目录 中 )。 


- -with-ssl=DIR 


WMR EHT mod ssl , configure 脚本 将 会 自动 搜寻 已 经 安装 的 OpenSSL ， 你 可 以 在 这 里 指 
定 SSL/TLS 工 具 包 的 安装 路 笃 。 


--with-z-DIR 


如 果 你 启用 了 压缩 模块 (比如 mod deflate ), configure 脚本 将 会 自动 搜寻 已 经 安装 
的 ziib 库 ， 你 可 以 在 这 里 指定 它 的 安装 路 径 。 


--with-perl-DIR 


有 些 用 Perl 写 的 支持 脚本 ， 如 apxs BK dbmmanage ， 需 要 Perl5 解 释 器 (5.003 或 以 上 的 版 本 就 足 
够 了 )。 如 果 系 统 中 存在 多 个 Perl 解 释 器 ， 比 如 有 系统 提供 的 Perl 4 ， 还 有 你 自己 安装 的 Perl 5 
， 推 荐 你 使 用 该 选项 来 指定 正确 的 版 本 。 如 果 没 有 Perl 5 也 没关系 ， 这 并 不 影响 Apache httpd 
的 编译 和 安装 ， 只 是 相关 的 支持 脚本 不 能 使 用 而 已 。 


--with-pcre=DIR 


5.0 版 的 Perl 兼 容 正 则 表达 式 库 (PCRE) 已 经 被 包含 进来 了 ， 如 果 你 想 使 用 系统 中 已 经 安装 好 的 
PCRE ， 就 可 以 在 这 里 指定 其 安装 路 径 。 


--with-ldap=DIR 


一 些 Apache 模 块 ， 比 如 mod 1dap 和 mod authnz 1dap 需要 APU 支 持 LDAP( 默 认 并 不 支持 )， 只 
要 使 用 其 中 之 一 ， 就 要 使 用 该 选项 指定 LDAP 的 安装 路 径 。 


一 些 Apache 模 块 ， 比 如 mod_authn_dbm 和 mod_rewrite 需要 使 用 DBM 数 据 库 ，APU 中 已 经 包 
含 了 SDBM ， 所 以 这 个 数据 库 总 是 可 用 的 。 如 果 你 想 使 用 其 他 类 型 的 数据 库 ， 就 要 使 用 以 下 
选项 : 


--with-gdbm[=path] 


使 用 GNU DBM{tSDBM ; 如 果 不 指定 path ， 则 configure 脚本 将 会 在 默认 路 径 上 搜索 
GNU DBM 的 包含 文件 和 库 的 位 置 。 如 果 指 定 path ， 则 configure 脚本 会 

在 path/lib 和 path/include 目录 中 搜索 GNU DBM 的 包含 文件 和 库 。 还 可 以 使 用 "inc- 
path:lib-path" 的 形式 分 别 指定 GNU DBM 的 包含 文件 和 库 的 位 置 。 


--with-ndbm[=path] 


使 用 New DBM 代 替 SDBM ; 如 果 不 指 定 path ， 则 configure 脚本 将 会 在 默认 路 径 上 搜索 New 
DBM 的 包含 文件 和 库 的 位 置 。 如 果 指 定 path ， 则 configure 脚本 会 

在 path/lib 和 path/include 目录 中 搜索 New DBM 的 包含 文件 和 库 。 还 可 以 使 用 "inc-path:lib- 
path" 的 形式 分 别 指定 New DBM 的 包含 文件 和 库 的 位 置 。 


--with-berkeley-db[=path] 


48 Fa Berkeley DB 代替 SDBM ; 如 果 不 指定 path ， 则 configure 脚本 将 会 在 默认 路 径 上 搜索 
Berkeley DB 的 包含 文件 和 库 的 位 置 。 如 果 指 定 path ， 则 configure 脚本 会 

在 path/lib 和 path/include 目录 中 搜索 Berkeley DB 的 包含 文件 和 库 。 还 可 以 使 用 "inc- 
path:lib-path" 的 形式 分 别 指定 Berkeley DB 的 包含 文件 和 库 的 位 置 。 


DBM 数 据 库 选项 是 由 APU 提 供 并 传递 给 APU 配 置 脚 本 的 。 所 以 如 果 使 用 --with-apr-util 指 
定 一 个 已 安装 的 APU 来 代替 ， 那 么 这 些 选项 便 无 效 。 你 可 以 同时 使 用 几 种 不 同 的 DBM 实 现 ， 
然后 使 用 运行 时 配置 动态 选择 其 中 之 一 。 


支持 程序 选项 


--enable-static-support 


使 用 静态 连接 (默认 为 动态 连接 ) 编 译 所 有 二 进 制 支 持 程序 。 若 不 使 用 该 选项 也 可 以 使 用 下 面 的 
选项 分 别 指定 每 个 支持 程序 : 


--enable-static-ab 

使 用 静态 连接 编译 ab 
--enable-static-checkgid 
使 用 静态 连接 编译 checkgid 
--enable-static-htdbm 

使 用 静态 连接 编译 htdbm 
--enable-static-htdigest 
使 用 静态 连接 编译 htdigest 
--enable-static-htpasswd 
使 用 静态 连接 编译 htpasswd 
--enable-static-logresolve 


使 用 静态 连接 编译 logresolve 


--enable-static-rotatelogs 


使 用 静态 连接 编译 rotatelogs 


Suexec 配 置 选项 


--enable-suexec 


使 用 这 个 选项 以 启用 suexec ， 它 可 以 允许 你 为 CGI 程序 指定 uid 和 gid 。 如 果 你 不 精通 
suexec 的 工作 机 制 ， 请 不 要 使 用 它 ! 


仅 在 启用 了 上 述 选项 的 情况 下 ， 才 可 以 使 用 以 下 选项 微调 suexec 的 各 种 特性 。 方 括号 "由 内 是 
默认 值 。 参 见 配 置 和 安装 suEXEC 以 获得 更 多 信息 。 


--with-suexec-bin 


suexec 二 进 制 文件 目录 [ - -sbindir ] 


- -with-suexec-caller 

允许 调用 suexec 的 用 户 ， 必 须 和 运行 nttpa 子 进程 的 用 户 相 同 。 
--with-suexec-docroot 

允许 suexec 对 其 中 的 文件 具有 执行 权限 的 根 目 录 [ --datadir/htdocs ] 
--with-suexec-gidmin 

允许 执行 suexec 的 最 小 GID[100] 

--with-suexec-logfile 

suexec 日 志文 件 名 [默认 文件 名 为 : suexec log ， 位 于 --logfiledir 目录 下 ] 


--with-suexec-safepath 


对 suexec "安全 "的 PATH 环境 变量 的 值 [ /usr/local/bin:/usr/bin:/bin ] 


--with-suexec-userdir 


用 户主 目录 下 人 允许 suexec 对 其 中 的 文件 具有 执行 权限 的 子 目录 ， 仅 在 将 suexec 和 用 户 网 站 
目录 (由 mod_userdir 提供 支持 ) 一 起 使 用 的 情况 下 才 需 要 设置 此 选项 。[ public htm ] 


--with-suexec-uidmin 
人 允许 执行 suexec 的 最 小 UID[100] 
--with-suexec-umask 


suexec 进程 的 umask [取决 于 系统 的 设 定 ] 


x EL 
环境 变量 
可 以 通过 指定 某 些 环境 变量 来 修改 configure 脚本 的 默认 选择 ， 或 者 帮助 configure 脚本 找到 
名 字 和 /或 位 置 不 标准 的 库 和 程序 。 
cc 
C 编 译 器 
CFLAGS 
C 编 译 器 的 flags 
CPP 
C 预 处 理 程序 
CPPFLAGS 


C/C++ 预 处 理 程序 flags， 上 比如 使 用 "”-Iincludedir "指定 一 个 非 标 准 的 头 文件 目录 includedir 。 


LDFLAGS 


连接 器 flags， 比 如 使 用 "-L -Llibdir "指定 一 个 非 标 准 的 库 文 件 目录 libdir 。 


dbmmanage - 管理 DBM 格 式 的 用 户 认 证 文件 


dbmmanage 建立 和 更 新 存储 用 户 名 和 密码 的 DBM 格 式 的 文件 ， 以 用 于 mod authn dbm 对 HTTP 
用 户 进行 基本 认证 。Apache HTTP 服 务 器 上 的 有 效 资 源 可 以 被 限制 为 仅 允 许 由 dbmmanage 建 
立 的 文件 中 的 用 户 所 访问 。 此 程序 仅 用 于 用 户 名 是 存储 在 一 个 DBM 文 件 中 的 情况 下 ， 如 果 使 
用 文本 数据 库 ， 请 参见 htpasswd o 


本 手册 页 信 列 出 命令 行 参数 ， 配 置 用 户 认 证 的 相关 信息 请 参见 认证 、 授 权 、 访 问 控制 文档 。 


* 
2 s, 
语法 
**dbmmanage** [ encoding ] filename add|adduser|check|delete|update username [ encpasswd [ 


**gbmmanage** filename view [ username ] 


**dbmmanage** filename import 


选项 
filename 


DBM 格 式 文 件 的 文件 名 。 一 般 不 带 .db .pag, -dir AB 


USername 


操作 所 针对 的 用 户 。username 中 不 能 有 冒号 ( )o 


encpasswd 

这 是 已 经 加 密 的 密码 ， 用 于 update 和 ada 命令 。 使 用 一 个 连 字符 ( - ) 可 以 显示 输入 密码 的 提 
示 ， 然 后 输入 。 另 外 ， 在 用 于 update 命令 时 ， 使 用 一 个 句号 ( . ) 可 以 保持 原 有 密码 不 变 。 
group 


用 户 所 属 的 组 名 ， 组 名 中 不 能 有 冒号 ( : )。 如 果 不 希 望 指定 该 用 户 所属 的 组 ， 可 以 使 用 一 个 
连 字符 ( - )， 但 是 需要 填写 comment 项 。 另外 ， 在 用 于 update 命令 时 ， 使 用 一 个 句号 ( . ) 可 
以 保持 原来 所 属 的 组 不 变 。 


comment 


这 是 对 该 用 户 的 说 明 ， 如 真实 姓名 、 邮 件 地 址 之 类 。 服 务 器 本 身 并 不 使 用 此 信息 。 


编码 


-d 


crypt 加 密 ( 在 Windows 和 Netware 以 外 平台 上 的 默认 值 ) 


-m 


MD5 加 密 (在 Windows 和 Netware 平 台 上 的 默认 值 ) 


SHA1 加 密 

-p 
纯 文 本 (不 推荐 ) 
[ez 

add 


在 filename 中 增加 一 个 包含 了 username 和 已 加 密 密 码 encpasswd 的 项 。 


dbmmanage passwords.dat add rbowen foKntnEF3KSXA 


adduser 


要 求 输入 密码 ， 然 后 在 flename 中 增加 一 个 username 项 。 


dbmmanage passwords.dat adduser krietz 


check 
要 求 输 入 密码 ， 然 后 检查 flename 中 是 否 存 在 username 并 且 其 密码 与 输入 的 相同 。 


dbmmanage passwords.dat check rbowen 


delete 


在 filename 中 删除 Username 项 。 


dbmmanage passwords.dat delete rbowen 


import 


从 STDIN 读 取 username:password 的 信息 (每 行 一 对 )， 然后 增加 到 filename 中 。 其 中 的 密码 必 
须 是 已 加 密 的 。 


update 


类 似 adduser 命令 ， 但 是 它 可 以 确认 username 已 经 存在 于 flename 中 。 


dbmmanage passwords.dat update rbowen 


view 
仅 显 示 DBM 文 件 的 内 容 。 如 果 指 定 了 username 则 仅 显 示 该 用 户 的 信息 。 


dbmmanage passwords.dat view 


Bugs 


注意 ， 实 际 上 存在 有 许多 不 同 的 DBM 文 件 格 式 ， 你 的 系统 中 也 可 能 存在 不 止 一 种 的 支持 库 ， 
常见 的 有 SDBM, NDBM, GDBM, Berkeley DB 2 。 麻 烦 的 是 ， 所 有 这 些 库 都 使 用 了 不 同 的 文 
件 格 式 ， 因 而 你 必须 确保 flename 所 采用 的 格式 能 够 为 dbmmanage 所 接受 。 目 

前 ， dbmmanage 无 法 自己 确定 所 查找 的 文件 的 DBM 类 型 。 如 果 使 用 了 错误 的 格式 ， 则 简单 返 
回 nothing ， 或 者 建立 一 个 不 同名 称 的 不 同 的 DBM 文 件 ， 而 最 坏 的 情况 是 ， 在 试图 写 入 这 个 文 
件 时 ， 可 能 会 破坏 该 DBM 文 件 。 


dbmmanage 有 一 个 DBM 格 式 参 数 选择 列表 ， 在 程序 前 部 由 @AnyDBM: : ISA 数组 定义 。 由 于 我 
们 更 喜欢 Berkeley DB 2 格式 ， dbmmanage 查找 系统 库 的 顺序 是 : Berkeley DB 2, NDBM, 
GDBM, SDBM 。 dbmmanage 会 使 用 第 一 个 找到 的 库 来 处 理 所 有 的 DBM 文 件 操作 。 此 顺序 与 
perl 中 标准 的 @anypBM: :ISA 的 顺序 略微 不 同 ， 所 以 ， 如 果 要 使 用 任何 其 他 工具 来 管理 DBM 文 
件 ， 则 必须 确保 该 工具 是 按 此 顺序 处 理 的 。 在 用 其 他 语言 比如 C 的 程序 来 处 理 这 些 文件 时 ， 也 
要 考虑 这 一 点 。 


在 大 多 数 Unix 系 统 中 ， 都 可 以 用 fiie 程序 来 查看 DBM 文 件 的 格式 。 


htcacheclean - 清理 磁盘 缓冲 区 


htcacheclean 可 以 用 于 将 mod_disk_cache 的 磁盘 缓冲 区 占用 的 空 间 保持 在 一 个 合理 的 水 平 。 
这 个 工具 可 以 手动 运行 也 可 以 作为 后 台 守 护 进程 运行 。 当 作为 守护 进程 运行 的 时 候 ， 它 将 每 
隔 一 段 时 间 检 查 一 次 缓冲 区 所 在 目录 并 进行 清理 。 你 可 以 通过 TERM 或 INT 信号 停止 守护 进 
程 的 清理 操作 。 


5B SF 
1) 
**htcacheclean** [ SERES ] [ Sh dolic ] [ Ex Er pdt ] [ Exi prts ] [ SER (pee ] -**p**path Ep 


**htcacheclean** Ext t ayudo [ oe tae ] [ Ey EP ui DEUS ] [ epe ] -**d**interval -**p**path Ep 


选项 

-dinterval 

每 隔 interval 分 钟 进行 一 次 清理 。 这 个 选项 和 -D, -v, -r 互 斥 ， 不 能 同时 使 用 。 要 关闭 清 
理 进 程 ， 可 以 使 用 siGTERM 或 SIGINT 信号 。 

-D 

进行 一 次 "演习 "而 不 真正 清理 任何 内 容 。 这 个 选项 和 -d 互 斥 ， 不 能 同时 使 用 。 

-V 

显示 详细 的 统计 信息 。 这 个 选项 和 -d 互 斥 ， 不 能 同时 使 用 。 

-r 

进行 彻底 的 清理 。 它 假定 Apache web 服 务 器 已 经 停止 (否则 你 将 在 缓冲 区 中 留 下 垃圾 )。 这 个 
选项 和 -d 互 斥 ， 不 能 同时 使 用 。 同 时 该 选项 隐 含 了 -t 选项 。 

-n 

温和 精细 的 清理 。 这 样 清理 过 程 将 会 被 减 慢 以 有 利于 其 它 进程 的 执行 。 htcacheclean 有 时 将 
会 进入 休眠 状态 。 以 便 : (ay lOS ; (b) 操 作 系 统 内 核 可 以 同时 执行 其 它 进程 。 

-t 

删除 所 有 空 目 录 ， 而 默认 只 删除 缓存 文件 。 因 为 在 某 些 配置 情况 下 会 建立 数量 巨大 的 目录 ， 
这 样 很 可 能 导致 inode 或 文件 分 配 表 耗 尽 。 我 们 建议 你 使 用 这 个 选 现 。 


-ppath 


将 path 指 定 为 磁 胡 缓冲 区 的 根 目录 。 它 必须 和 cacheRoot 指定 的 目录 相同 。 


-llimit 

将 limit 指 定 为 磁盘 缓冲 区 允许 占用 的 最 大 空间 。 用 xxB 表示 xx 字 节 ， 用 xxk RMxxF SF, 
用 xxM 表示 xx 焰 字 节 。 

-i 

智能 运行 ， 也 就 是 仅 在 磁盘 缓冲 区 的 内 容 被 更 改 的 情况 下 运行 。 仅 能 够 和 -d 选项 同时 使 
用 。 


退出 状态 


htcacheclean 仅 在 一 切 操作 都 成 功 的 情况 下 返回 " o "， 否 则 返回 " 1 "。 


htdbm - 操作 DBM 密 码 数 据 库 


htdbm 用 于 操作 由 mod authn dbm 提供 的 HTTP 基 本 认证 所 使 用 的 保存 用 户 名 和 密码 的 DBM 数 
据 库 文件 。 参见 dbmmanage 文档 以 获得 这 些 DBM 文 件 的 更 多 信息 。 


* 

BE 

**htdbm** [ -**T**DBTYPE ] [ -**c** ] [ -**m** | -**d** | -**p** | -**s** ] [ -**t** ] [ - 
**htdbm** -**b** [ -**T**DBTYPE ] [ -**c** ] [ -**m** | -**d** | -**p** | -**s** ] [ -**t* 
**htdbm** -**n** [ -**c** ] [ -**m** | -**d** | -**p** | -**s** ] [ -**t** ] [ -**v** ] us 
**htdbm** -**nb** [ -**c** ] [ -**m** | -**d** | -**p** | -**s** ] [ -**t** ] [ -**v** ] u 
**htdbm** -**v** [ -**T**DBTYPE ] [ -**c** ] [ -**m** | -**d** | -**p** | -**s** ] [ -**t* 
**htdbm** -**vb** [ -**T**DBTYPE ] [ -**c** ] [ -**m** | -**d** | -**p** | -**s** ] [ -**t 
**htdbm** -**x** [ -**T**DBTYPE ] [ -**m** | -**d** | -**p** | -**s** ] filename username 


Sede ee ie ea Peay 


选项 
-b 


使 用 批 你 理 方式 。 也 就 是 直接 从 命 合 行 获取 密码 而 不 进行 提醒 。 使 用 这 个 选项 需要 特别 注 
意 ， 因 为 命令 行 中 的 密码 是 清晰 可 见 的 。 


=C 


创建 passwdfile 文 件 。 如 果 passwdfile 已 经 存在 ， 那 么 将 被 清空 并 改 宇 。 该 选项 不 能 和 -n E 
时 使 用 。 


-n 


在 标准 输出 上 显示 结果 而 不 是 更 新 数据 库 。 这 个 选项 改变 了 命令 行 语法 ， 因 为 passwdfile 参 数 
(通常 是 个 ) 被 忽略 了 。 该 选 t A T EA -C 同时 使 用 。 


-m 


使 用 MD5 加 密 密 码 。 在 Windows, Netware, TPF 上 这 是 默认 方法 。 


-d 


使 用 crypt 对 密码 进行 加 密 。 在 Windows, Netware, TPF 以 外 的 平台 上 这 是 默认 方法 。 虽然 
有 可 能 在 所 有 的 平台 上 被 htdbm 支持 ， 但 是 在 Windows, Netware, TPF.E, 该 方法 不 能 
被 httpd 所 支持 。 


-S 

使 用 SHA 对 密码 进行 加 密 。 这 种 方法 易于 通过 LDAP 目 录 交 换 格式 和 Netscape server 进 行 交 
换 。 

-p 

使 用 明文 密码 (不 加 密 )。 虽 然 htdbm 在 所 有 平台 上 都 支持 这 种 方法 ， 但 是 httpd 只 能 在 
Windows, Netware, TPF 上 支持 这 种 方法 。 

Er 

在 标准 输出 上 显示 每 一 个 用 户 名 以 及 对 应 的 注释 。 

将 最 后 一 个 参数 解释 为 注释 。 指 定 这 个 选项 可 以 在 命令 行 中 添加 一 个 人 额外 的 字符 串 ， 这 个 字 
符 串 可 以 被 存储 在 数据 库 中 对 应 用 户 名 的 "Comment" 字 段 中 。 

-V 

校 验 用 户 名 和 密码 。 程 序 将 会 显示 一 个 密码 是 否 正确 的 信息 。 如 果 密 码 不 正确 程序 退出 时 的 
错误 代码 将 是 "3"。 

-X 

删除 用 户 。 如 果 指 定 的 用 户 名 存在 与 数据 库 中 ， 则 删除 该 用 户 。 

filename 

DBM 文 件 的 文件 名 。 通 常 不 包含 .dp ，.pag ，.dir 后 级 。 如 果 同 时 使 用 了 -c 选项 ， 若 
DBM 文 件 已 存在 则 更 新 它 ， 若 不 存在 则 创建 它 。 

USername 

在 passwdfile 中 添加 或 更 新 记录 。 若 username 不 存在 则 添加 一 条 记录 ， 若 存在 则 更 新 其 密 
码 。 

password 

将 要 被 加 密 存 储 的 明文 密码 。 仅 与 -b 一 同 使 用 。 


-TDBTYPE 


DBM 文 件 的 类 型 (SDBM, GDBM, DB, "default")。 


Bugs 


实际 上 存在 有 许多 不 同 的 DBM 文 件 格式 ， 你 的 系统 中 也 可 能 存在 不 止 一 种 的 支持 库 ， 常 见 的 
有 SDBM, NDBM, GNU GDBM, Berkeley/Sleepycat DB 2/3/4 。 麻 烦 的 是 ， 所 有 这 些 库 都 使 
用 了 不 同 的 文件 格式 ， 因 而 你 必须 确保 flename 所 采用 的 格式 能 够 为 ntdbm 所 接受 。 目 

BU, htdbm 无 法 自己 确定 所 查找 的 文件 的 DBM 类 型 。 如 果 使 用 了 错误 的 格式 ， 则 简单 返回 
nothing ， 或 者 建立 一 个 不 同名 称 的 不 同 的 DBM 文 件 ， 而 最 坏 的 情况 是 ， 在 试图 写 入 这 个 文件 
时 ， 可 能 会 破坏 该 DBM 文 件 。 


在 大 多 数 Unix 系 统 中 ， 都 可 以 用 fiie 程序 来 查看 DBM 文 件 的 格式 。 


VR [n] f& 


htdbm 仅 在 用 户 名 和 密码 被 成 功 存 和 数据库 或 成 功 更 新 的 情况 下 返回 " o "。 问 文 件 发 生 

错误 则 返回 " 1" ; EMD HOST 错误 则 返回 " 2" ; 若 密 码 验 证 失败 则 返回 " s " ; 若 正 在 进行 
中 的 操 TEAMS 返回 " 4 " ; Z&4& (username, filename, password, 计算 结果 ) 长 度 超 标 则 返 
回 " s"; 若 用 户 名 包含 非法 字符 (参见 限制 ) 则 返回 " e " ; 若 指定 的 文件 不 能 被 正确 识别 则 返 
Er 7 "s 


示例 
htdbm /usr/local/etc/apache/.htdbm-users jsmith 


添加 或 修改 用 户 jsmith 的 密码 。 密 码 将 被 提示 输入 。 在 Windows 平 台 上 ， 密 码 将 使 用 
Apache 修 改过 的 MD5 算 法 进行 加 密 ; 在 其 它 平台 上 将 使 用 crypto 进行 加 密 。 如 果 指 定 的 文 
件 不 存在 ， htdbm 将 只 返回 一 个 错误 代码 ， 而 不 做 其 它 任何 事 。 


htdbm -c /home/doe/public html/.htdbm jane 


创建 一 个 新 文件 并 在 其 中 添加 一 条 用 户 jane 的 记录 。 密 码 将 被 提示 输入 。 如 果 文 件 存 在 但 是 
不 能 被 读 取 或 写 信 ， 则 不 会 有 任何 记录 被 修改 ， 同 时 htdbm 将 会 显示 一 个 错误 信息 并 返回 一 
个 错误 代码 。 


htdbm -mb /usr/web/.htdbm-all jones Pwd4Steve 


将 来 自命 令 行 的 密码 ( Pudasteve ) 使 用 MD5 算 法 加 密 ， 并 将 其 存 人 指定 的 文件 。 


安全 方面 的 考虑 


Web 密 码 文件 (比如 由 htdbm 管理 ) 不 应 当 存 在 于 网 络 空 间 中 ， 即 不 能 被 客户 端 有 机 会 访问 。 
我 们 反对 使 用 -b 选项 ， 因 为 密码 将 以 明文 的 形式 出 现在 命令 行 中 。 


限制 
在 Windows 和 MPE 平 台 上 ， 用 htdbm 加 密 的 密码 最 大 长 度 是 255 字符 。 超 出 部 分 将 被 截断 。 


htdbm 使 用 的 MD5 加 密 算 法 已 经 被 Apache 修 改过 了 ， 仅 能 够 被 Apache 识 别 ， 不 能 被 其 它 
Web 服 务 器 识别 。 


用 户 最 大 长 度 是 255 字 节 ， 并 且 不 能 包含 冒号 (: )。 


htdigest - 管理 用 于 摘要 认证 的 用 户 文 件 
htdigest 建立 和 更 新 用 于 摘要 认证 的 、 存 储 用 户 名 / 域 /密码 的 文本 文件 。 服 务 器 上 的 资源 可 
以 被 限制 为 仅 允 许 由 htdigest 建立 的 文件 中 的 用 户 访问 。 


本 手册 页 仅 列 出 命 合 行 参数 ， 配 置 摘要 认证 的 相关 指 合 的 细节 请 参见 mod auth digest 文档 。 


语法 


**htdigest** [ -**c** ] passwdfile realm username 


建立 passwdfile 。 如 果 passwdfile 已 经 存在 ， 则 会 首先 把 它 删 除 。 


passwdfile 


包含 用 户 名 / 域 /密码 的 文件 名 。 若 指定 了 -c ， 那 么 ， 如 果 该 文件 不 存在 则 新 建 ， 否 则 先 删除 
然后 再 新 建 。 


realm 
该 用 户 名 所 属 的 域 。 


USername 


在 passwdfile 中 所 建立 或 更 新 的 用 户 名 。 如 果 username 不 存在 ， 则 增加 一 项 ， 否 则 改变 其 密 
码 。 


httxt2dbm - 生成 RewriteMap 指 今 使 用 的 dbm 文 件 


httxt2dbm 可 以 用 来 从 输入 的 文本 生成 RewriteMap 指 今 使 用 的 dbm 文 件 (使 用 dbm 映射 类 
型 )。 


**httxt2dbm** [ -**v** ] [ -**f** DBM TYPE ] -**i** SOURCE TXT -**o** OUTPUT DBM 


选项 
输出 更 详细 的 信息 。 
-f 


指定 输出 使 用 的 DBM 类 型 。 若 没有 指定 ， 将 使 用 APR 的 默认 类 型 。 可 用 的 类 型 有 : GDBM 
GDBM 文件 som SDBM 文件 pg berkeley DB 文件 noem NDBM 文件 default 使 用 默认 
用 于 创建 dbm 文 件 的 输入 文件 。 该 输入 文件 的 格式 必须 是 每 行 一 条 记录 ， 其 格式 如 下 : 

key value 参考 RewriteMap 文档 以 获得 关于 这 个 文件 格式 更 多 说 明 。 


-0 


输出 的 dbm 文 件 名 。 


例子 


httxt2dbm -i rewritemap.txt -o rewritemap.dbm 


httxt2dbm -f SDBM -i rewritemap.txt -o rewritemap.dbm 


htpasswd - 管理 用 于 基本 认证 的 用 户 文件 


htpasswd 建立 和 更 新 用 于 基本 认证 的 存储 用 户 名 /密码 的 文本 文件 。 如 果 htpasswd 不 能 读 写 
此 文件 ， 它 返回 一 个 出 错 代 码 ， 而 不 做 任何 修改 。 


服务 器 上 的 资源 可 以 被 限制 为 人 允许 由 htpasswd 建立 的 文件 中 的 用 户 所 访问 。 此 程序 只 能 管 
理 存储 在 文本 文件 中 的 用 户 名 和 密码 ， 但 是 它 可 以 加 密 并 显示 密码 信息 ， 从 而 可 以 为 其 他 数 
据 存 储 类 型 所 利用 。 要 使 用 DBM 数 据 库 ， 请 参见 dbmmanage o 


htpasswd 使 用 专 为 Apache 作 了 修改 的 MD5 算 法 或 系统 范 数 crypt() MBB. htpasswd 所 
管理 的 文件 可 以 包含 两 种 类 型 的 密码 ; 有 些 用 户 的 密码 使 用 MD5 加 密 的 ， 而 同一 个 文件 中 的 
其 他 用 户 密码 则 使 用 crypt() 加 密 。 


本 手册 页 仅 列 出 命 合 行 参数 ， 配 置 基 本 认证 的 相关 指使 的 细节 请 参见 mod auth basic 文档 。 


语法 


**htpasswd** [ -**c** ] [ -**m** ] [ -**D** ] passwdfile username 


**htpasswd** 2 ye [ E wie (petu! ] [ x xn | Eu tra estt | mre p yat | Gat ] [ t P iosi ] passwdfile 
**htpasswd** SUSCI [ moe | St [esso | SERGE | eid yes ] username 

**htpasswd** -**nb** [ -**m** | -**g** | -**s** | -**p** ] username password 

s 

选项 

-b 


使 用 批 处 理 方式 。 也 就 是 直接 从 命 


合 行 获取 密码 而 不 进行 提醒 。 使 用 这 个 选项 需要 特别 注 
意 ， 因 为 命 命 行 中 的 密码 是 清晰 可 见 雇 


的 。 

创建 passwdfile 文 件 。 如 果 passwdfile 已 经 存在 ， 那 么 将 被 清空 并 改 宇 。 该 选项 不 能 和 -n 同 
时 使 用 。 

在 标准 输出 上 显示 结果 而 不 是 更 新 文件 。 用 于 生成 可 以 为 Apache 非 文本 输出 存储 格式 所 接受 
的 密码 记录 。 这 个 选项 改变 了 命令 行 语法 ， 因 为 passwdfile 参 数 (通常 是 第 一 个 ) 被 忽略 了 。 该 
选项 不 能 和 -c 同时 使 用 。 


-m 


使 用 MD5 加 密 密 码 。 在 Windows, Netware, TPF 上 这 是 默认 方法 。 


-d 


使 用 crypto 对 密码 进行 加 密 。 在 Windows, Netware, TPF 以 外 的 平台 上 这 是 默认 方法 。 虽然 
有 可 能 在 所 有 的 平台 上 被 htpasswd 支持 ， 但 是 在 Windows, Netware, TPF.E, 该 方法 不 能 
被 httpd 所 支持 。 


= 


使 用 SHA 对 密码 进行 加 密 。 这 种 方法 易于 通过 LDAP 目 录 交 换 格式 和 Netscape server 进 行 交 
换 。 

-p 

使 用 明文 密码 (不 加 密 )。 虽 然 htpasswd 在 所 有 平台 上 都 支持 这 种 方法 ， 但 是 httpd 只 能 在 
Windows, Netware, TPF 上 支持 这 种 方法 。 

-D 

如 果 username 存在 于 passwdfile 中 ， 则 删除 该 用 户 。 


passwdfile 


包含 用 户 名 和 密码 的 文本 文件 的 名 称 。 如 果 使 用 了 -c 选项 ， 若 文件 已 存在 则 更 新 它 ， 若 不 
存在 则 创建 它 。 


USername 


在 passwdfile 中 添加 或 更 新 记录 。 若 username 不 存在 则 添加 一 条 记录 ， 若 存在 则 更 新 其 密 
码 。 


password 


将 被 加 密 并 存储 到 文件 中 的 明文 密码 。 必 须 和 -b 同时 使 用 。 


3 [E] f 


htpasswd 仅 在 用 户 名 和 密码 被 成 功 存 人 passwdfile 或 成 功 更 新 的 情况 下 返回 " 6"。 若 访问 文 
件 发 生 错误 则 返回 " 1 " ; 若 命令 行 语法 错误 则 返回 " 2 " ; 若 密码 验证 失败 则 返回 " s " ; EIE 
在 进行 中 的 操作 被 打 断 则 返回 " 4 " ; 若 值 (Username, filename, password, 计算 结果 ) 长 度 超 标 
则 返回 " s " ; 若 用 户 名 包含 非法 字符 (参见 限制 ) 则 返回 " e " ; 若 指定 的 文件 不 能 被 正确 识别 则 
返回 " 7 "。 


示例 


htpasswd /usr/local/etc/apache/.htpasswd-users jsmith 


添加 或 修改 用 户 jsmith 的 密码 。 密 码 将 被 提示 输入 。 在 Windows 平 台 上 ， 密 码 将 使 用 
Apache 修 改过 的 MD5 算 法 进行 加 密 ; 在 其 它 平台 上 将 使 用 crypt() 进行 加 密 。 如 果 指 定 的 文 
件 不 存在 ， htpasswd 将 只 返回 一 个 错误 代码 ， 而 不 做 其 它 任何 事 。 


htpasswd -c /home/doe/public html/.htpasswd jane 


UND SE RAP jane 的 记录 。 密 码 将 被 提示 输入 。 如 果 文 件 存在 但 是 
能 被 读 取 或 写 入 ， 则 不 会 有 任何 记录 被 修改 ， 同 时 htpasswd 将 会 显示 一 个 错误 信息 并 返回 


dpi des 


htpasswd -mb /usr/web/.htpasswd-all jones Pwd4Steve 


将 来 自命 令 行 的 密码 ( Pudasteve ) 使 用 MD5 算 法 加 密 ， 并 将 其 存 人 指定 的 文件 。 


安全 方面 的 考虑 


Web 密 码 文件 (比如 由 htpasswd 管理 ) 不 应 当 存 在 于 网 络 空 间 中 ， 即 不 能 被 客户 端 有 机 会 访 
问 。 


我 们 反对 使 用 -b 选项 ， 因 为 密码 将 以 明文 的 形式 出 现在 命令 行 中 。 


限制 


在 Windows 和 MPE 平 台 上 ， 用 htdbm 加 密 的 密码 最 大 长 度 是 255 字符 。 超 出 部 分 将 被 截断 。 


htdbm 使 用 的 MD5 加 密 算法 已 经 被 Apache 修 改过 了 ， 公 能够 被 Apache 识 别 ， 不 能 被 其 它 
Web 服 务 器 识别 。 


用 户 最 大 长 度 是 255 字 节 ， 并 且 不 能 包含 冒号 ( : )。 


logresolve - 解析 Apache 日 志 中 的 IP 地 址 为 主机 名 


logresolve 是 一 个 解析 Apache 访 问 日 志 中 IP 地 址 的 后 处 理 程 序 。 为 了 使 对 名 称 服务 器 的 影响 
降 到 最 低 ， 它 拥有 极为 自主 的 内 部 散 列表 缓存 ， 使 每 个 IP 值 仅仅 在 第 一 次 从 日 志文 件 中 读 出 
时 才 被 解析 一 次 。 


此 程序 从 标准 输入 设备 上 获得 需要 解析 的 Apache 日 志文 件 ， 其 中 的 IP 地 址 必须 在 每 行 的 开始 
处 ， 行 中 其 余 信 息 必 须 以 空格 分 隔 。 


语法 


**logresolve** [ -**s** filename ] [ -**c** ] &lt; access log &gt; access log.new 


-s filename 
指定 记录 统计 信息 的 文件 名 。 
-C 


此 选项 使 logresolve 执行 DNS 验证 : 在 把 IP 地 址 解析 为 主机 名 后 ， 按 主机 名 查找 IP 地 址 ， 以 
验证 原 地 址 能 否 与 其 中 之 一 相 匹 配 。 


rotatelogs - 滚动 Apache 日 志 的 管道 日 志 程 序 


rotatelogs 是 一 个 配合 Apache 管 道 日 志 功 能 使 用 的 fal 单程 序 。 举例 : 


CustomLog "|bin/rotatelogs /var/logs/logfile 86400" common 


此 配置 会 建立 文件 varlogs/logfile.nnnn"， 其 中 的 nnnn 是 名 义 上 的 日 志和 启动 时 的 系统 时 间 ( 此 
时 间 总 是 滚动 时 间 的 倍数 ， 可 以 用 于 cron 脚 本 的 同步 )。 在 滚动 时 间 到 达 时 (在 此 例 中 是 24 小 时 
以 后 )， 会 产生 一 个 新 的 日 志 。 


CustomLog "|bin/rotatelogs /var/logs/logfile 5M" common 


此 配置 会 在 日 志文 件 大 小 增长 到 5 兆 字 节 时 滚动 该 日 志 。 


ErrorLog "|bin/rotatelogs /var/logs/errorlog.?6Y-9?6m-96d-96H 96M 96S 5M" 


此 配置 会 在 错误 日 志 大 小 增长 到 5 兆 字 节 时 滚动 该 日 志 ， 日 志文 件 名 后 缀 会 按照 如 下 格式 创 


建 : errorlog.YYYY-mm-dd-HH_MM_SS o 


语法 


**rotatelogs** [ -**1** ] logfile [ rotationtime [ offset ]] | [ filesizeM ] 


使 用 本 地 时 间 代 替 GMT 时 间作 为 时 间 基 准 。 注 意 : TE— T OUE GMT SS (ERE ELS Hp) E 
境 中 使 用 -1 会 导致 不 可 预料 的 结果 。 

logfile 

它 加 上 基准 名 就 是 日 志文 件 名 。 如 果 logfile 中 包含 "%"， 则 它 会 被 视 为 用 于 strftime() 的 格式 
Ses; 否则 它 会 被 自动 加 上 以 秒 为 单位 的 ".nnnnnnnnnn" 后 级 。 这 两 种 格式 都 表示 新 的 日 志 
开始 使 用 的 时 间 。 


rotationtime 
日 志文 件 滚动 的 以 秒 为 单位 的 间隔 时 间 。 


offset 


相对 于 UTC 的 时 差 的 分 钟 数 。 如 果 省 略 ， 则 假定 为 "0" 并 使 用 UTC 时 间 。 比 如 ， 要 指定 UTC 时 
差 为 "-5 小 时 "的 地 区 的 当地 时 间 ， 则 此 参数 应 为 " -36g "。 


filesizeM 


指定 以 filesizeM 文件 大 小 滚动 ， 而 不 是 按照 时 间 或 时 差 滚动 。 


可 移植 性 


下 列 日 志文 件 格式 字符 串 可 以 为 所 有 的 strftime() 实现 所 支持 ， 见 各 种 扩展 库 对 应 
的 strftime() 的 手册 。 


| «A | 星期 名 全 称 ( 本 地 的 ) | | «a | 3 个 字符 的 星期 名 (本 地 的 ) | | ‰ | 月 份 名 的 全 称 ( 本 地 的 ) 
|| xb | 3 个 字符 的 月 份 名 (本 地 的 ) | | xc | 日 期 和 时 间 ( 本 地 的 )|| xa | 2 位 数 的 一 个 月 中 的 

日 期 数 || on | 2 位 数 的 小 时 数 (24 小 时 制 ) | | x | 2 位 数 的 小 时 数 (12 小 时 制 ) | | wj | 3 位 数 

的 一 年 中 的 日 期 数 || wm | 2 位 数 的 分 钟 数 || ‰m | 2 位 数 的 月 份 数 || wp | am/pm12 小 时 制 

的 上 下 午 (本 地 的 ) | | «s | 2 位 数 的 秒 数 | | wu | 2 位 数 的 一 年 中 的 星期 数 (星期 天 为 一 周 的 第 

一 天 )|| vw | 2 位 数 的 一 年 中 的 星期 数 (星期 一 为 一 周 的 第 一 天 ) | | %w | 1 位 数 的 星期 几 (星期 
天 为 一 周 的 第 一 天 ) | | sx | 时 间 (本 地 的 ) | | wx | 日 期 (本 地 的 ) | | wy | 4 位 数 的 年 份 || wy | 
2 位 数 的 年 份 || wz | 时 区 名 || ome | 符号 "%" 本 身 | 


suexec - FERITI EB EE FE 2 BU) FH P 


suexec {Apache HTTP 服 务 器 在 执行 CGI 程序 之 前 切换 为 另 一 个 用 户 。 为 此 ， 它 必须 

以 root 身份 运行 。 由 于 Apache 监 听 子 进程 一 般 不 是 以 root 身份 运行 的 ， 所 以 ， 可 执行 文 
件 suexec 的 所 有 者 必须 是 root ， 而 且 其 setuid 位 必须 被 设置 。 除 了 root ， 这 个 文件 绝 不 
应 该 对 其 他 人 开放 写 权 限 。 


有 关 涉 及 的 概念 和 suexec 安 全 模型 方面 的 信息 ， 参 见 sSuexec 文 档 )。 


语法 


**cuexec** ESSA V Raus 


如 果 你 是 root ， 此 选项 可 以 显示 suexec 的 编译 选项 。 由 于 安全 方面 的 原因 ， 所 有 的 配置 选 
项 只 能 在 编译 时 确定 。 


其 他 程序 


以 下 是 包含 在 Apache 中 的 没有 专门 手册 页 的 简单 支持 程序 ， 这 些 程序 不 是 自动 安装 的 ， 而 是 
在 配置 过 程 以 后 ， 装 在 " support "目录 下 的 。 


log server status 


此 perl 脚 本 可 以 由 频繁 使 用 的 诸如 cron 的 工具 所 调用 。 它 连接 到 服务 器 并 下 载 状 态 信息 ， 并 格 
式 化 此 信息 为 一 行 ， 并 记录 在 一 个 文件 中 。 要 指定 结果 的 输出 文件 的 位 置 ， 可 以 调整 该 脚本 
首 行 中 的 变量 。 


split-logfile 


此 perl 脚 本 可 以 把 记录 了 多 个 web 服 务 器 的 存 取 日 志文 件 内 容 切 分 为 独立 的 文件 。 它 假设 其 中 
每 行 的 第 一 个 字段 是 虚拟 主机 标识 符 ( 使 用 " v ")， 并 在 当前 目录 中 生成 命名 为 虚拟 主机 标识 
符 +" .1og "的 文件 。 


记录 了 多 个 web 服务 器 的 日 志文 件 是 从 stdin 中 读 取 的 。 读 出 的 记录 会 被 追加 在 已 经 存在 的 日 
志文 件 中 。 


条 项 文档 

以 下 列 出 Apache web 服 务 器 开发 项 目的 其 他 文档 。 

警告 

这 些 文档 没有 完全 包含 Apache HTTP 服 务 器 2.2 版 本 中 已 经 更 新 的 内 容 ， 有 些 内 容 可 能 仍然 有 
效 ， 使 用 中 请 注意 。 

性 能 方面 的 提示 一 Apache 优 化 

在 运行 时 和 编译 时 配置 Apache 以 获得 最 佳 性 能 的 提示 ， 及 其 原因 。 

安全 方面 的 提示 

应 该 做 什么 和 不 要 做 什么 以 保护 Apache web 站 点 安全 。 


URL 重 写 指 南 


这 是 mod rewrite 的 参考 手册 ， 描 述 了 如 何 用 mod rewrite 解决 网 站 管理 员 在 实践 中 常见 的 基 
于 URL 的 典型 问题 。 


相关 标准 
列 出 了 大 多 数 和 Apache 相 关 的 标准 。 


与 Apache 相 关 的 标准 


本 页 列 出 了 所 有 Apache 遵 守 的 相关 标准 ， 并 伴 有 简要 描述 。 
除了 下 面 列 出 的 参考 信息 ， 下 列 资源 也 值得 看 看 : 


e http://purl.org/NET/http-errata - HTTP/1.1 勘误 表 
e http://www.rfc-editor.org/errata.html - RFC 勘误 表 
e http://ftp.ics.uci.edu/pub/ietf/http/#HRFC - 一 个 与 HTTP 相 关 的 RFC 列 表 


MI 
LER 


本 文档 尚未 全 部 完成 


HTTP 推荐 标 ; 


不 管 使 用 了 什么 模块 ，Apache 作 为 一 个 基本 的 web 服 务 器 都 遵守 以 下 IETF 推 荐 标准 : 
RFC 1945 (Informational) 


The Hypertext Transfer Protocol (HTTP) is an application-level protocol with the lightness 
and speed necessary for distributed, collaborative, hypermedia information systems. This 
documents HTTP/1.0. 


RFC 2616 (Standards Track) 


The Hypertext Transfer Protocol (HTTP) is an application-level protocol for distributed, 
collaborative, hypermedia information systems. This documents HTTP/1.1. 


RFC 2396 (Standards Track) 


A Uniform Resource Identifier (URI) is a compact string of characters for identifying an 
abstract or physical resource. 


HTML 推荐 标 ， 


对 于 超 文 本 标记 语言 (HTML)，Apache 遵 守 以 下 IETF 和 W3C 推 荐 标准 : 
RFC 2854 (Informational) 


This document summarizes the history of HTML development, and defines the "text/html" 
MIME type by pointing to the relevant W3C recommendations. 


HTML 4.01 Specification (Errata) 


This specification defines the HyperText Markup Language (HTML), the publishing language 
of the World Wide Web. This specification defines HTML 4.01, which is a subversion of 
HTML 4. 


HTML 3.2 Reference Specification 


The HyperText Markup Language (HTML) is a simple markup language used to create 
hypertext documents that are portable from one platform to another. HTML documents are 
SGML documents. 


XHTML 1.1 - Module-based XHTML (Errata) 


This Recommendation defines a new XHTML document type that is based upon the module 
framework and modules defined in Modularization of XHTML. 


XHTML 1.0 The Extensible HyperText Markup Language (Second Edition) (Errata) 


This specification defines the Second Edition of XHTML 1.0, a reformulation of HTML 4 as 
an XML 1.0 application, and three DTDs corresponding to the ones defined by HTML 4. 


iu 
对 于 不 同 的 认证 方法 ，Apache 遵 守 以 下 IETF 推 荐 标准 : 


RFC 2617 (Draft standard) 


"HTTP/1.0", includes the specification for a Basic Access Authentication scheme. 


语言 /国家 代码 


以 下 链接 记录 了 ISO 和 其 tibs 言 /国家 代码 信息 : 
ISO 639-2 


ISO 639 provides two sets of language codes, one as a two-letter code set (639-1) and 
another as a three-letter code set (this part of ISO 639) for the representation of names of 
languages. 


ISO 3166-1 


These pages document the country names (official short names in English) in alphabetical 
order as given in ISO 3166-1 and the corresponding ISO 3166-1-alpha-2 code elements. 


BCP 47 (Best Current Practice), RFC 3066 


This document describes a language tag for use in cases where it is desired to indicate the 
language used in an information object, how to register values for use in this language tag, 
and a construct for matching such language tags. 


RFC 3282 (Standards Track) 


This document defines a "Content-language:" header, for use in cases where one desires to 
indicate the language of something that has RFC 822-like headers, like MIME body parts or 
Web documents, and an "Accept-Language:" header for use in cases where one wishes to 
indicate one's preferences with regard to language. 


Apache 3: 


摘 述 模块 的 术语 


本 文 对 用 于 描述 模块 的 术语 加 以 说 明 。 


说 明 


对 模块 用 途 的 简要 说 明 。 


状态 (Status) 

状态 (Status) 代 表 了 此 模块 与 Apache 服 务 器 结合 的 紧密 程度 ; 也 就 是 说 ， 有 可 能 需要 重新 编译 
服务 器 以 获得 一 个 模块 的 功能 。 其 可 能 的 值 有 : 

MPM 


一 个 多 路 义理 模块 。 和 与 其 他 类 型 的 模块 不 同 的 是 ， 必 须 在 编译 配置 时 进行 选择 ， 必 须 有 且 仅 
有 一 个 MPM 被 静态 编译 到 服务 器 中 。 此 类 型 的 模块 负责 基本 的 对 请 求 的 处 理 和 指派 。 


Base 


默认 被 编译 进 服务 器 的 模块 ， 因 此 始终 是 有 效 的 ， 除 非 你 刻意 在 编译 时 从 配置 中 删除 此 模 
块 。 


Extension 


默认 没有 被 编译 进 服务 器 的 模块 。 要 激活 此 模块 并 使 用 其 功能 ， 有 可 能 需要 修改 服务 器 的 编 
译 配置 并 重新 编译 Apache 。 


Experimental 


实验 性 的 模块 ， 虽 然 作 为 Apache 包 的 一 部 分 提供 ， 但 是 需要 你 自己 承担 使 用 中 的 风险 。 对 此 
模块 提供 文档 仅仅 是 为 了 保持 完整 性 ， 而 并 不 一 定 有 技术 支持 。 


External 


不 包含 在 Apache 基 本 发 行 版 中 模块 ("第 三 方 模块 ")。 我 们 对 此 模块 免责 ， 并 且 不 提供 技术 支 
持 。 


源 代码 文件 


列 出 包含 实现 此 模块 的 源 代码 文件 ， 此 名 称 也 用 于 <Ifmodule> 指 今 。 


模块 标识 符 


这 个 是 LoadModule 指令 在 动态 加 载 模块 时 用 于 指定 模块 的 标识 符 。 其 实 ， 它 就 是 源 代码 文件 
中 拼写 模块 的 外 部 变量 名 。 


兼容 性 


如 果 该 模块 不 是 原始 Apache2.0 的 发 行 版 的 一 部 分 ， 此 你 会 写 明 此 模块 应 该 被 使 用 于 哪个 版 
A; 另外 ， 如 果 此 模块 在 特定 平台 上 有 功能 限制 ， 此 处 也 会 有 详细 说 明 。 


d di, $ 
摘 述 指令 的 术语 
本 文 对 用 于 描述 Apache 配 置 指令 的 术语 加 以 说 明 。 


说 明 


对 指令 用 途 的 简单 说 明 。 


语法 


说 明 该 指令 在 配置 文件 中 使 用 的 形式 ( 随 指 今 的 不 同 而 不 同 )， 在 指令 的 定义 中 有 说 明 。 指 今后 
面 一 般 可 以 跟 一 个 或 多 个 用 空格 分 开 的 参数 。 如 果 参 数 中 有 空格 ， 则 必须 用 双 引 号 括 起 来 ， 
用 方 括号 括 起 来 的 是 可 选 参数 。 如 果 一 个 参数 可 以 取 多 个 值 ， 则 各 个 可 能 的 值 用 "| 分开 。 应 
该 原样 输入 的 文字 使 用 默认 字体 ， 而 可 变 的 必须 按 实际 情况 加 以 蔡 换 的 会 加 强 显示 。 使 用 可 
变 参 数 个 数 的 指令 以 …" 结 尾 ， 以 表示 最 后 一 个 参数 可 以 重复 。 


引 倒 的 参数 类 型 非常 多 ， 以 下 列 出 常用 的 部 分 。 
URL 


一 个 完整 的 包括 类 型 、 主 机 名 和 可 选 路 径 名 的 统一 资源 引用 名 ， 


如 : http: //www.example.com/path/to/file.html 
URL-path 


URL 中 类 型 和 主机 名 之 后 的 部 分 ， 如 " /path/to/file.html "是 表示 资源 在 网 络 空 间 (而 不 是 文 
件 系统 ) 中 的 位 置 。 


file-path 


文件 在 本 地 文件 系统 中 相对 于 根 目录 的 路 径 ， 
如 " /usr/local/apache/htdocs/path/to/file.html "ə 除非 以 斜 杠 (/) 开 头 ， 否则 将 被 视 为 相对 于 
ServerRoot 的 相对 路 径 。 


directory-path 

目录 在 本 地 文件 系统 中 相对 于 根 目 录 的 路 径 ， 如 : /usr/local/apache/htdocs/path/to/ 
filename 

不 带路 径 信 息 的 文件 名 ， 如 : file.html 


regex 


Penl 兼 容 的 正则 表达 式 ， 是 对 文本 匹配 模式 的 描述 。 指 邻 的 定义 中 会 说 明 应 该 使 用 什么 /egex 


extension 


一 般 是 指 fename 中 最 后 一 个 "." 号 后 面 的 部 分 。 不 过 ，Apache 可 以 辨认 文件 的 多 个 extension 
， 如 果 1jfename 中 含有 多 个 "."， 则 第 一 个 "." 后 面 由 每 个 "." 分 隔 开 的 部 分 都 是 此 文件 的 
extension 。 上 比如 "file.html.en "A T extension : .html 和 .en 。 在 Apache 指 今 中 指定 
extension 时 ， 可 以 有 也 可 以 没有 前 导 的 "."， 而 且 不 区 分 大 小 写 。 


MIME-type 


一 种 用 一 个 主格 式 类 型 和 一 个 副 格 式 类 型 并 用 斜 杠 分 隔 的 描述 文件 格式 的 方法 ， 


如 : text/html 
env-variable 


这 是 Apache 配 置 过 程 中 定义 的 环境 变量 的 名 称 。 注 意 ， 它 不 一 定 与 操作 系统 中 的 环境 变量 相 
同 。 详 情 参 见 环境 变量 文档 。 


默认 值 


如 果 该 指令 有 默认 和 值 ( 即 如 果 你 没有 在 配置 中 明确 指定 ， 那 么 Apache 服 务 器 会 默认 设置 一 个 特 
定 的 值 ， 并 认为 它 是 你 设置 的 )， 会 在 此 处 说 明 。 如 果 没 有 ， 则 会 指明 是 "None"。 注 意 ， 此 处 
的 默认 值 并 不 一 定 与 服务 器 发 行 版 中 默认 的 httpd.conf 中 该 指令 的 取 值 相同 。 


作用 域 

它 表 示 该 指 合 出 现在 配置 文件 的 什么 位 置 才 是 合法 的 。 它 是 一 个 用 至 号 分 隔 的 一 个 或 多 个 下 
列 值 的 列表 : 

Server config 


说 明 该 指令 可 以 用 于 服务 器 配置 文件 ( httpd.conf )， 但 不 能 用 于 任 
fn] <virtualHost> 或 <Directory> 人 以 及 .htaccess 文件 中 。 


virtual host 
说 明 该 指令 可 以 用 于 服务 器 配置 文件 的 «VirtualHost» 段 中 。 
directory 


说 明 该 指令 可 以 用 于 服务 器 配置 文件 «Directory» , «Location» ，<Files> ， «Proxy» 段 中 ， 
并 服从 配置 段 一 文 的 限制 。 


.htaccess 


说 明 该 指令 可 以 用 于 针对 单个 目录 及 其 子 目 录 的 .htaccess 文件 中 。 它 可 能 会 因 overrides 的 
设置 而 不 起 作用 。 


指令 应 该 仅仅 出 现在 允许 出 现 的 作用 域 中 ， 否 则 会 产生 配置 错误 ， 并 导致 服务 器 不 能 正确 义 
理 请 求 ， 或 者 根本 不 能 启动 。 


指令 的 有 效 位 置 ， 事 实 上 是 其 所 有 被 列 出 的 作用 域 逮 辑 或 的 结果 。 也 就 是 如 果 一 个 指令 被 标 
A" server config, .htaccess " 则 可 以 用 于 httpd.conf 和 .htaccess ， 但 不 能 用 于 任 


何 «Directory» 或 «VirtualHost» 容器 。 


jemi 
该 属性 表示 要 使 .htaccess 文件 中 的 该 指令 有 效 必须 激活 的 配置 覆盖 项 。 如 果 一 个 指令 的 作 
用 域 不 包含 .htaccess ， 则 无 此 内 容 。 


AllowOverride 旨 今 使 覆盖 生效 ， 并 作用 于 一 个 特定 的 范围 (比如 一 个 目 录 ) 及 其 下 分 支 ， 除非 
又 被 其 下 层 中 其 他 的 Allowoverride 指 合 所 修改 。 对 指使 的 说 明 中 同时 列 出 了 其 可 能 的 覆盖 


项 。 


状态 

状态 代表 了 此 指 倒 与 Apache 服 务 器 结合 的 紧密 程度 ; 也 就 是 说 ， 有 可 能 需要 重新 编译 服务 器 
以 获得 一 个 指 今 的 功能 。 其 可 能 的 值 有 : 

Core 

Apache 服 务 器 最 核心 的 部 分 ， 始 终 有 效 。 

MPM 


由 一 个 多 路 义理 模块 提供 ， 此 类 指令 仅仅 在 使 用 了 指令 定义 中 模块 一 行 所 列 的 MPM 之 一 时 才 
有 效 。 


Base 


由 默认 编译 进 服 务 器 的 一 个 Apache 标 准 模块 提供 ， 一 般 总 是 有 效 的 ， 除 非 你 刻意 在 编译 时 从 
配置 中 删除 此 模块 。 


Extension 


由 一 个 默认 不 被 编译 进 服务 器 的 模块 提供 。 要 激活 此 指 合并 使 用 其 功能 ， 需 要 修改 服务 器 编 
译 时 配置 并 重新 编译 Apache。 


Experimental 


由 一 个 一 般 来 说 默认 不 被 编译 进 服务 器 的 模块 提供 ， 并 且 需 要 你 自己 承担 使 用 中 的 风险 。 对 
此 指令 提供 文档 是 为 了 保持 完整 性 ， 而 并 不 一 定 有 技术 支持 。 提 供 此 指令 的 模块 ， 是 否 默认 
被 编译 进入 服务 器 都 有 可 能 ， 其 说 明 页 面 的 顶部 注 明 了 其 有 效 性 。 


模块 
对 该 指令 提供 支持 的 模块 列表 。 
兼容 性 


如 果 该 指 合 不 是 原始 Apache2 的 发 行 版 的 一 部 分 ， 此 你 会 写 明 此 指使 应 该 被 使 用 于 哪个 版 
A; 另外 ， 如 果 此 指使 在 特定 平台 上 有 功能 限制 ， 此 处 会 有 详细 说 明 。 





生 


说 明 Apache HTTP 服 务 器 核心 提供 的 功能 ， 始 终 有 效 
状态 核心 (C) 


Apache 核 心 (Core) 特 ， 


AcceptFilter 18 4 


说 明 根据 协议 类 型 对 监听 Socket 进 行 优化 
语法 AcceptFilter protocol accept filter 
作用 域 server config 
状态 核心 (C) 
模块 core 
兼容 性 仅 在 Apache 2.1.5 以 后 的 版 本 中 可 用 


这 个 指 今 使 得 操作 系统 根据 协议 类 型 对 监听 socket 进 行 特别 的 优化 。 其 基本 前 提 是 内 核 在 数据 
接受 完毕 或 一 个 完整 的 HTTP 请 求 缓冲 完成 前 不 向 服务 器 进程 发 送 socket 。 目 前 仅 支 持 
FreeBSD 的 接收 过 滤器 (Accept Filter) 和 Linux 的 更 原始 的 (more primitive) TCP_DEFER_ACCEPT 


o 


FreeBSD 上 的 默认 值 是 : 


AcceptFilter http httpready 


AcceptFilter https dataready 


httpready 接收 过 滤器 (Accept Filter) 在 内 核 级 别 缓冲 整个 HTTP 请 求 。 一 旦 一 个 请 求 体 被 完整 
接收 ， 内 核 业 把 它 发 送 给 服务 器 。 参 见 accf_http(9) 手 册页 以 获得 更 详细 的 信息 。 因 为 HTTPS 
请 求 已 经 被 加 密 了 ， 所 以 只 使 用 了 accf_data(9) 过 滤器 。 


Linux 上 的 默认 值 是 : 
AcceptFilter http data 


AcceptFilter https data 


Linux 的 rcP. pEFER AccePT 并 不 支持 对 http 请 求 进行 缓冲 。 除 none 之 外 的 任何 值 都 将 在 监听 程 
序 上 启用 TcP_DEFER_ACCEPT 。 参 见 tcp(7) 手 册页 以 获得 更 多 详情 。 


使 用 none 将 会 为 那个 协议 禁用 接收 过 滤器 (accept fiter)。 这 对 于 像 nntp 这 样 需要 服务 器 先 
发 送 数 据 的 协议 很 有 用 处 : 


AcceptFilter nttp none 


AcceptPathInfo 1&4 


说 明 是 否 接受 附带 多 余 路 径 名 信息 的 请 求 
语法 AcceptPathInfo On&#124;Off&#124;Default 
默认 值 AcceptPathInfo Default 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 核心 (C) 
模块 core 
兼容 性 仅 在 Apache 2.0.30 及 以 后 的 版 本 中 可 用 


此 指令 决定 是 否 接受 在 实际 文件 名 (或 实际 目录 中 一 个 不 存在 的 文件 ) 后 跟随 多 余 路 径 名 信息 的 
请 求 。 这 个 多 余 的 路 径 名 信息 可 以 当 作 pATH_INFo 环境 变量 传递 给 脚本 。 

比如 说 ， 假 设 /test/ 所 指向 的 目录 下 只 包括 一 个 文件 : here.html ， 那 么 

对 /test/here.html/more 和 /test/nothere.html/more 的 请 求 都 会 将 PATH INFO 环境 变量 设 
Jj" /more "o 

AcceptPathInfo 旨 邻 的 取 值 范围 : 

Off 

仅 当 一 个 请 求 映 射 到 一 个 真实 存在 的 路 径 时 ， 才 会 被 接受 。 这 样 ， 如 上 

述 /test/here.html/more 这 样 在 真实 文件 名 后 跟随 一 个 路 径 名 的 请 求 将 会 返回 一 个 "404 NOT 
FOUND" 错 误 。 

On 

只 要 前 导 路 径 可 以 映射 到 一 个 真实 存在 的 文件 ， 就 可 以 接受 该 请 求 。 这 样 ， 只 要 上 

述 /test/here.html 能 够 映射 到 一 个 有 效 的 文件 ， 那么 对 /test/here.html/more 的 请 求 就 会 被 


接收 。 

Default 

是 否 接收 附带 多 余 路 径 名 信息 的 请 求 由 其 对 应 的 人 处理 器 来 决定 。 对 应 普通 文本 的 核心 处 理 器 
默认 会 拒绝 PATH INFO 。 而 用 于 伺服 脚本 的 处 理 器 ， 上 比如 cgi-script 和 isapi-isa， 默 认 会 接 


S? PATH INFO o 


AcceptPathInfo 指令 存在 的 首要 目的 就 是 允许 您 覆盖 处 理 器 关于 是 否 接受 PATH INFO 的 默认 
设置 。 这 种 覆盖 是 很 必要 的 。 比 如 说 ， 当 您 使 用 了 类 似 INCLUDES 这 样 的 过 滤器 来 根 

据 PATH INFO 产生 内 容 时 。 核 心 处 理 器 通常 会 拒绝 这 样 的 请 求 ， 而 您 就 可 以 用 下 述 的 配置 使 
这 样 的 脚本 成 为 可 能 : 


«Files "mypaths.shtml"> 
Options +Includes 
SetOutputFilter INCLUDES 


AcceptPathInfo On 
</Files> 


AccessFileName #§4 


说 明 分 布 式 配置 文件 的 名 字 
语法 AccessFileName filename 
默认 值 AccessFileName ,htaccess 
作用 域 server config, virtual host 
状态 核心 (C) 
模块 core 


如 果 为 某 个 目录 启用 了 分 布 式 配 置 文件 功能 ， 那 么 在 向 客户 端 返回 其 中 的 文档 时 ， 服 务 器 将 
在 这 个 文档 所 在 的 各 级 目录 中 查找 此 配置 文件 。 比 如 : 


AccessFileName .acl 


在 返回 文档 /usr/local/web/index.html 之 前 ， 服务 器 会 为 此 指使 读 取 /.acl .  /usr/.acl 
. /usr/local/.acl 、  /usr/local/web/.acl 除非 此 功能 以 被 如 下 配置 所 禁用 : 


<Directory /> 


AllowOverride None 
«/Directory» 


y 


p) 


© AllowOverride 
e 配置 文件 
e .htaccess 文件 


AddDefaultCharset 18 4 


说 明 


语法 


默认 
值 


作用 
域 


E 


项 
状态 


模块 


当 应 答 内 容 是 text/plain 或 text/html 时 ， 在 HTTP 应 答 头 中 加 入 的 默认 字符 
集 

AddDefaultCharset On&#124;0ff&#124;charset 

AddDefaultCharset Off 


server config, virtual host, directory, .htaccess 


Filelnfo 


核心 (C) 


core 


当 且 公 当 应 答 内 容 是 text/plain EX text/html 时 ， 此 指令 将 会 在 HTTP 应 答 头 中 加 入 的 默认 
字符 集 。 理 论 上 这 将 履 盖 在 文档 体 中 通过 <meta 标签 指定 的 字符 集 ， 但 是 实际 的 行为 通常 取 
决 于 用 户 浏览 器 的 设置 。 AddDefaultcharset off 将 会 禁用 此 功能 。 Addpefaultcharset on 将 
启用 Apache 内 部 的 默认 字符 集 iso-8859-1 。 您 也 可 以 指定 使 用 在 IANA 注册 过 的 字符 集 名 字 
中 的 另外 一 个 charset 。 比 如 说 : 


AddDefaultCharset utf-8 


AddDefaultcharset 只 应 当 在 如 下 情况 下 使 用 : 所 有 文本 资源 都 使 用 同一 种 确定 的 字符 集 ， 且 
分 别 标 记 他 们 的 字符 集 非 常 麻烦 。 一 个 这 样 的 例子 是 向 包含 动态 内 容 的 资源 中 添加 字符 集 参 
数 ( 比 如 先前 遗留 的 CGI 脚本 )， 这 样 可 能 会 因为 在 输出 中 包含 用 户 提 供 的 数据 而 导致 跨 站 点 脚 
本 攻击 。 但 是 请 注意 : 更 好 的 解决 办 法 是 修改 或 删除 这 些 脚本 ， 因 为 设置 了 默认 的 字符 集 以 
后 将 会 使 得 浏览 器 的 字符 集 自动 探测 功能 失效 。 


@  AddCharset 


AddOutputFilterByType 1&4 


说 明 对 特定 的 MIME 类 型 指定 输出 过 滤器 
语法 AddOutputFilterByType filter[;filter...] MIME-type [MIME-type] ... 


作用 域 server config, virtual host, directory, .htaccess 


18 mx Filelnfo 
状态 核心 (C) 
模块 core 


兼容 性 Apache 2.0.33 以 后 可 用 ， 但 在 Apache 2.1 以 后 反对 使 用 
此 指使 根据 应 答 的 MIME 类 型 对 请 求 激活 特定 的 输出 过 滤器 。 由 于 下 面料 要 讨论 的 问题 ， 我 们 
反对 使 用 这 个 指令 。 同 样 的 功能 可 以 通过 使 用 mod_filter 模块 获得 。 
下 例 使 用 了 由 mod deflate 提供 的 bEFLATE 过 滤器 。 它 将 把 所 有 
以 text/html 或 text/plain 为 标记 的 输出 (不 论 静 态 或 动态 ) 在 发 送 到 客户 端 之 前 进行 压缩 。 


AddOutputFilterByType DEFLATE text/html text/plain 


如 果 您 希望 使 用 多 个 过 滤器 来 处 理 内 容 ， 您 可 以 用 分 号 (;) 来 分 隔 它 们 的 名 字 。 并 对 每 个 过 滤 
器 使 用 AddOutputFilterByType 指 兮 。 


下 述 配置 特使 所 有 标记 为 text/htmi 的 脚本 输出 首先 被 INcLupES 过 滤器 义理 后 再 
被 DEFLATE 过 滤器 义理 。 


«Location /cgi-bin/» 
Options Includes 


AddOutputFilterByType INCLUDES;DEFLATE text/html 
</Location> 


“~ = 
7 AK 


在 某 些 情况 下 ， 用 AddOutputFilterByType 来 使 用 过 滤器 会 遭受 部 分 或 完全 的 失败 。 比如 ， 如 
果 MIME 类 型 不 能 确定 ， 那 么 将 不 会 有 过 滤器 加 于 其 上 ， 从 而 使 之 回 到 pefaultType 的 设置 。 
甚至 当 pefaultrype 与 其 相同 的 时 候 也 是 这 样 。 


然而 ， 如 果 您 想 确认 对 某 些 资源 相关 的 内 容 类 型 确实 使 用 了 过 滤器 ， 您 可 以 使 用 用 诸 
如 AddType 或 ForceType 这 样 的 办 法 。 在 一 个 (non-nph)CGI 脚 本 中 设 定 内 容 类 型 也 很 安全 。 


由 类 型 决定 的 输出 过 滤器 永远 不 会 作用 于 来 自 代 理 的 请 求 。 


e  AddOutputFilter 


*  SetOutputFilter 


e 过 滤器 


AllowEncodedSlashes 1&4 


说 明 确定 是 否 允 许 URL 中 使 用 经 过 编码 的 路 径 分 割 符 
mk AllowEncodedSlashes On&#124; Off 
默认 值 AllowEncodedSlashes Off 
作用 域 server config, virtual host 
状态 核心 (C) 
模块 core 
兼容 性 仅 在 Apache 2.0.46 及 以 后 的 版 本 中 可 用 


AllowEncodedSlashes 指使 允许 使 用 包含 经 过 编码 的 路 径 分 割 符 的 
URL(" %2F ">" / "或 " «sc "一 "、"， 取 决 于 不 同 的 系统 )。 默 认 情 况 下 ， 这 些 URL 将 被 一 个 包 


含 "404"( 示 找到) 错误 的 应 答 拒绝 。 


AllowEncodedSlashes On 通常 和 PATH INFO 配合 使 用 。 


MI 
LER 


允许 使 用 经 过 编码 的 斜 线 (路 径 分 割 符 ) 并 不 意味 着 解码 。 
将 会 按 原 祥 出 现在 解码 后 的 URL 字 符 串 中 。 


* AcceptPathInfo 


AllowOverride 1&4 


%2F EX «5c (仅仅 取决 于 不 同 的 系统 ) 


说 明 确定 允许 存在 于 .htaccess 文件 中 的 指使 类 型 
语法 AllowOverride All&#124;None&#124;directive-type [directive-type] ... 
默认 值 AllowOverride All 


作用 域 ^ directory 
状态 核心 (C) 


模块 core 


当 服 务 器 发 现 一 个 .htaccess 文件 (由 AccessFileName 指定 ) 时 ， 它 需要 知道 在 这 个 文件 中 声明 
的 哪些 指令 能 履 盖 在 此 之 前 指定 的 配置 指令 。 


仅 人 允许 存在 于 <Directory> 配 置 段 


AllowOverride 仅 在 不 包含 正则 表达 式 的 <Directory> 配置 段 中 才 是 有 效 的 。 在 «Location»? , 
«DirectoryMatch» , «Files» 配置 段 中 都 是 无 效 的 。 


如 果 此 指令 被 设置 为 None ， 那 么 .htaccess 文 件 将 被 完全 忽略 。 事 实 上 ， 服 务 器 根本 不 会 读 
取 .htaccess 文件 。 


STA All 时 ， 所 有 具有 ".htaccess" 作 用 域 的 指令 都 允许 出 现在 .htaccess 文件 
中 。 


directive-type 可 以 是 下 列 各 组 指令 之 一 
AuthConfig 


允许 使 用 与 认证 授权 相关 的 指使 ( AuthpBMGroupFile , AuthDBMUserFile , AuthGroupFile , 
AuthName , AuthType , AuthUserFile , Require , 等 )。 


Filelnfo 


允许 使 用 控制 文档 类 型 的 指令 DefaultType , ErrorDocument , ForceType , LanguagePriority , 
SetHandler , SetInputFilter , SetOutputFilter , mod mime 中 的 Add 和 Remove 1845 

等 )、 控制 文档 元 数据 的 指 今 ( Header , RequestHeader , SetEnvIf , SetEnvIfNoCase , 
BrowserMatch , CookieExpires , CookieDomain , CookieStyle , CookieTracking , 

CookieName )、 mod_rewrite 中 的 指 今 ( RewriteEngine , RewriteOptions , RewriteBase , 


RewriteCond , RewriteRule ) 和 mod actions 中 的 Action 指 今 。 
Indexes 


允许 使 用 控制 目录 索引 的 指 今 ( AddDescription , AddIcon , AddIconByEncoding , 
AddIconByType , DefaultIcon , DirectoryIndex , FancyIndexing , HeaderName , IndexIgnore , 


IndexOptions , ReadmeName , 等 )。 

Limit 

允许 使 用 控制 主机 访问 的 指令 ( Allow Deny , Order )。 
Options[-Option,...] 


允许 使 用 控制 指定 目 录 功 能 的 指 邻 ( Options 和 XBitHack )e 可 以 在 等 号 后 面 附加 一 个 逗号 分 
隔 的 (无 空格 的 ) options 选项 列表 ， 用 来 控制 允许 options 指令 使 用 哪些 选项 


例如 以 下 指令 只 允许 在 .htaccess 中 使 用 Authconfig 和 Indexes 组 的 指令 : 


AllowOverride AuthConfig Indexes 


不 在 这 两 组 中 的 指令 将 会 导致 服务 器 产生 一 个 内 部 错误 。 


*  AccessFileName 


e 配置 文件 
e .htaccess 文 件 


AuthName 1&4 


说 明 用 于 HTTP 认 证 的 授权 域 
语法 AuthName auth-domain 
作用 域 directory, .htaccess 
Em AuthConfig 
状态 核心 (C) 
模块 core 


此 指 邻 为 目录 的 授权 域 设置 名 字 。 此 域 将 发 送 给 客户 端 以 使 用 户 了 解 应 当 发 送 哪个 用 户 名 和 
密码 。 AuthName 指令 带 有 一 个 参数 。 如 果 域 的 名 字 中 包含 空格 ， 则 必须 用 引号 引起 来 。 它 必 
ZRF AuthType 和 Require 指使 以 及 诸如 AuthuserFile 和 AuthGroupFile 这 样 的 指令 一 起 工 
作 。 


例如 : 


AuthName "Top Secret" 
提供 给 AuthName 的 字符 串 将 出 现在 大 多 数 浏览 器 提供 的 密码 对 话 框 中 。 


z 


参见 


e 认证、 授权、 访问 控制 


AuthType #83 


说 明 用 户 认 证 类 型 


语法 AuthType Basic&#124; Digest 
作用 域 directory, .htaccess 

fem hl AuthConfig 

状态 核心 (C) 

模块 core 


此 指令 选择 了 一 个 目录 的 用 户 认 证 类 型 。 目 前 只 实现 了 Basic ( mod auth basic ) 
和 Digest ( mod auth digest )。 


要 实现 认证 ， 还 必须 同时 与 AuthName 和 Require 指令 一 起 使 用 。 另外， 服务 器 还 必须 包含 一 
个 认证 支持 模块 (比如 mod_authn_file ) 和 一 个 授权 支持 模块 (比如 mod_authz_user )。 
参见 


z^ 


e 认证、 授权、 访问 控制 


CGIMapExtension 184 


说 明 定位 CGI 脚本 解释 器 
语法 CGIMapExtension cgi-path .extension 
作用 域 directory, .htaccess 
覆盖 项 Filelnfo 
状态 核心 (C) 
模块 core 
兼容 性 NetWare only 


此 指 邻 用 于 定位 Apache CGI 脚本 解释 器 。 比 如 ，" cGIMapExtension sys:\foo.nlm .foo "将 把 所 
有 具有 .foo 后 级 的 CGI 脚 本 文件 传递 给 FOO 解 释 器 。 


ContentDigest 1E 4 


3X BH 人 允许 生成 Content-Mp5 MAK 


语法 ContentDigest On&#124; Off 

默认 值 ContentDigest Off 

作用 域 server config, virtual host, directory, .htaccess 
Emi Options 

状态 核心 (C) 

模块 core 


此 指使 遵照 RFC1854 和 RFC2068 协 议 的 定义 启用 了 content-Mps. 应 答 头 的 生成 。 


MD5 是 一 种 为 不 定 长 度 的 数据 计算 出 一 个 "消息 摘要 "(有 时 也 称 为 "指纹 ") 的 算法 。 并 且 保 证 数 
据 中 的 任何 变化 都 会 反应 在 消息 摘要 的 变化 中 。 

content-MD5 头 提 供 了 一 种 端 到 端的 针对 整个 消息 体 的 信息 完整 性 检查 方法 。 代 理 或 者 客户 端 
会 检查 此 头 以 侦 测 在 传输 过 程 中 ， 消 息 体 是 否 产生 了 意外 的 改变 。 一 个 头 的 例子 如 下 : 


Content-MD5: AuLb7DpirqtRtxz2m9kRpA== 


请 注意 ， 因 为 对 每 个 请 求 都 要 进行 消息 摘要 的 运算 (没有 对 其 值 进行 缓存 )， 所 以 这 会 对 您 的 服 
务 器 造成 性 能 方面 的 影响 。 


Content-MD5 仅 为 由 Apache 核 心 伺服 的 文档 进行 发 送 ， 而 对 于 由 模块 处 理 的 文档 则 不 予 理会 。 
比如 说 SSIl 文 档 、CGI 脚 本 的 输出 、 字 节 范 围 的 应 答 都 不 包括 这 个 头 。 


DefaultType 1&4 


说 明 在 服务 器 无 法 由 其 他 方法 确定 内 容 类 型 时 ， 发 送 的 默认 MIME 内 容 类 型 
语法 DefaultType MIME-type 
默认 值 DefaultType text/plain 


作用 域 server config, virtual host, directory, .htaccess 


18 m o Filelnfo 
状态 核心 (C) 
模块 core 


有 时 会 发 生 这 样 的 事 : 服务 器 会 被 要 求 提供 一 个 文档 ， 而 这 个 文档 的 类 型 无 法 由 它 的 MIME 类 
型 映射 所 决定 。 

服务 器 必须 通知 客户 端 其 文档 的 内 容 类 型 。 所 以 当 一 个 未 知 类 型 出 现时 ， 将 会 使 

用 DefaultType o 例如 : 


DefaultType image/gif 


这 桩 的 配置 对 于 里 面 有 很 多 gif 图 片 而 有 些 在 文件 名 中 缺少 git 扩展 名 的 目录 非常 合适 。 


注意 ， 与 ForceType 指令 的 不 同 之 处 在 于 : 此 指 邻 信 提 供 了 默认 的 mime 类 型 。 所 有 其 它 mime 
类 型 的 定义 ， 包 括 文 件 的 扩展 名 ， 或 其 它 可 以 标识 媒体 类 型 的 方法 都 会 覆盖 此 默认 值 。 


«Directory» 指 今 


说 明 封装 一 组 指令， 使 之 仅 对 文件 空间 中 的 某 个 目录 及 其 子 目 录 生 效 
语法 «Directory directory-path&gt; ... &lt;/Directory» 


VF FA server config, virtual host 


状态 核心 (C) 
模块 core 


«Directory» 和 </Directory> 用 于 封装 一 组 指令 ， 使 之 久 对 某 个 目录 及 其 子 目 录 生 效 。 任 何 
可 以 在 "directory" 作 用 域 中 使 用 的 指令 都 可 以 使 用 。Directory-path 可 以 是 一 个 目录 的 完整 路 
径 ， 或 是 包含 了 Unix shell 匹 配 语法 的 通配符 字符 串 。 在 通配符 字符 串 中 ，"”? "匹配 任何 单个 
的 字符 ，"* "匹配 任何 字符 序列 。 您 也 可 以 使 用 " pj "来 确定 字符 范围 。 以 上 通配符 都 不 能 
配 "/" 字 符 。 所 以 «Directory /*/public html» 将 无 法 匹配 /home/user/public html , 

但 <Directory /home/*/public html» 能 够 正确 匹配 。 比 如 说 : 


<Directory /usr/local/httpd/htdocs> 


Options Indexes FollowSymLinks 
</Directory> 


使 用 directory-path 参 数 的 时 候 要 注意 : 它们 必须 与 Apache 用 于 访问 文件 的 文件 系统 路 径 保 持 
一 致 。 赋 予 特 定 «Directory» 的 指令 将 无 法 对 通过 不 同 路 径 指向 的 同一 个 目录 文件 生效 ， 比 如 
说 通过 另外 一 个 符号 连接 生成 的 路 径 。 


扩展 的 正则 表达 式 也 可 以 通过 附加 一 个 " ~ "字符 来 使 用 。 比 如 说 : 


«Directory ~ "A/www/(.+/)*[0-9]{3}"> 


将 匹配 /www/ 下 所 有 由 3 个 数字 组 成 的 目录 。 


如 果 有 多 个 ( 非 正 则 表达 式 ) «Directory» 配置 段 符合 包含 某 文档 的 目录 (或 其 父 目 录 )， 那 么 指 
今 将 以 短 目 录 优 先 的 规则 进行 应 用 。 并 包含 .htaccess 文 件 中 的 指令 。 比 如 说 在 


<Directory /> 


AllowOverride None 
</Directory> 


<Directory /home/> 


AllowOverride FileInfo 
</Directory> 


中 ， 访 问 文档 /home/web/dir/doc.html 的 步骤 如 下 : 


e 应 用 指令 AllowOverride None (禁用 ‘htaccess 文件 )。 

e 应 用 指令 Allowoverride FileInfo (针对 /home 目录 )。 

e 按 顺 序 应 用 所 有 /home/.htaccess 、  /home/web/.htaccess 、 /home/web/dir/.htaccess 中 
的 FileInfo 组 指 兮 。 


正则 表达 式 将 在 所 有 普通 配置 段 之 后 予以 考虑 。 所 有 的 正则 表达 式 将 根据 它们 出 现在 配置 文 
件 中 的 顺序 进行 应 用 。 上 比如 说 ， 以 下 配置 : 


«Directory ~ abc$> 


H aeaa 
</Directory> 
TER) 3A TAC ES EPPA DES <Directory> 和 .htaccess 文件 应 用 之 后 才 予 以 考虑 。 所 以 
正则 表达 式 将 匹配 /home/abc/public html/abc 并 予以 应 用 。 
请 注意 : Apaches} <pirectory /> 的 默认 访问 权限 为 ”Allow from All "。 这 意味 着 Apache 


将 伺服 任何 通过 URL 了 映射 的 文件 。 我 们 建议 您 将 这 个 配置 做 如 下 屏蔽 : 


<Directory /> 
Order Deny,Allow 


Deny from All 
«/Directory» 


然后 在 您 想 要 使 之 被 访问 的 目录 中 覆盖 此 配置 。 参 阅 安 全 提示 以 获取 更 多 详情 。 


一 般 来 说 «Directory» 指令 只 会 出 现在 httpd.conf 文件 中 ， 但 它们 也 可 能 出 现在 任何 其 它 配 
mx, <pDirectory> DRA RRA, TERRE LTE «Limit» 或 <LimitExcept> 配置 
段 中 。 


e <Directory>、<Location>、<Files> 配 置 段 是 如 何 工作 的 中 包含 了 当 接 受 一 个 请 求 时 ， 这 
些 不 同 的 配置 段 是 如 何 组 合 工 作 的 相关 解释 。 


<DirectoryMatch> 指令 


说 明 封装 一 些 指 令 并 作用 于 文件 系统 中 匹配 正则 表达 式 的 所 有 目录 及 其 子 目 录 
语法 <DirectoryMatch regex&gt; ... &lt;/DirectoryMatch> 


作用 域 ^ server config, virtual host 
状态 核心 (C) 


模块 core 


<DirectoryMatch> 和 </DirectoryMatch> 用 于 封装 一 组 指 今 。 «Directory» KW, Ibs SURE 
仅 作 用 于 指定 名 字 的 目录 及 其 子 目 录 。 然 而 ， 它 可 以 接受 一 个 正则 表达 式 作 为 参数 。 比 如 
说 : 


<DirectoryMatch "A/www/(.+/)*[0-9]{3}"> 


将 匹配 /www/ 下 所 有 由 3 个 数字 组 成 的 目录 。 


@ <Directory> 获取 如 何在 普通 的 <Directory> 中 使 用 正则 表达 式 的 描述 。 
e <Directory>、<Location>、<Files> 配 置 段 是 如 何 工作 的 中 包含 了 当 接 受 一 个 请 求 时 ， 这 
些 不 同 的 配置 段 是 如 何 组 合 工作 的 相关 解释 。 


DocumentRoot 指令 


说 明 组 成 网 络 上 可 见 的 主 文档 树 的 根 目 录 
语法 DocumentRoot directory-path 
默认 值 DocumentRoot /usr/local/apache2/htdocs 
作用 域 server config, virtual host 
状态 核心 (C) 
模块 core 


此 指令 设置 了 httpd 伺服 的 目录 。 在 没有 使 用 类 似 Alias 这 样 的 指令 的 情况 下 ， 服 务 器 会 将 
请 求 中 的 URL 附 加 到 pocumentRoot 后 面 以 构成 指向 文档 的 路 径 。 比 如 说 : 


DocumentRoot /usr/web 


FH http://ww.my.host.com/index. html 的 访问 就 会 指向 /usr/web/index.html o WOR 
directory-path 不 是 绝对 路 径 ， 则 被 假定 为 是 相对 于 serverroot 的 路 径 。 


指定 DocumentRoot 时 不 应 包括 最 后 的 "/"。 
参见 


。 从 URL 到 文件 系统 的 映射 


EnableMMAP 指 今 


说 明 在 递送 中 使 用 内 存 映射 (memory-mapping) 来 读 取 文件 
语法 EnableMMAP On&#124; Off 
默认 值 EnableMMAP On 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 核心 (C) 
模块 core 


此 指令 指示 httpd 在 北 送 中 如 果 需 要 污 取 一 个 文件 的 内 容 ， 它 是 否 可 以 使 用 内 存 映射 。 当 处 
理 一 个 需要 访问 文件 中 的 数据 的 请 求 时 ， 比 如 说 当 递 送 一 个 使 用 mod_include 进行 服务 器 端 分 
析 的 文件 时 ， 如 果 操 作 系 统 支 持 ，Apache 将 默认 使 用 内 存 映 射 。 


这 种 内 存 映射 有 时 会 带 来 性 能 的 提高 ， 但 在 某 些 情 况 下 ， 您 可 能 会 需要 茶 用 内 存 映射 以 避免 
一 些 操作 系统 的 问题 : 


e 在 一 些 多 义理 器 的 系统 上 ， 内 存 映 射 会 减低 一 些 httpd 的 性 能 。 
e 在 挂 载 了 NFS 的 DocumentRoot 上 ， 和 若 已 经 将 一 个 文件 进行 了 内 存 映 射 ， 则 删除 或 截断 这 
个 文件 会 造成 httpd 因为 分 段 故 障 而 崩溃 。 


在 可 能 遇 到 这 些 问 题 的 服务 器 配置 过 程 中 ， 您 应 当 使 用 下 面 的 命令 来 蔡 用 内 存 映射 : 


EnableMMAP Off 


对 于 挂 载 了 NFS 的 文件 夹 ， 可 以 单独 指定 禁用 内 存 映 射 : 


<Directory "/path-to-nfs-files"> 
EnableMMAP Off 
</Directory> 


EnableSendfile 1&4 


说 明 使 用 操作 系统 内 核 的 sendfile 支 持 来 将 文件 发 送 到 客户 端 


语法 EnableSendfile On&#124; off 

默认 值 EnableSendfile On 

作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 

状态 核心 (C) 

模块 core 


兼容 性 仅 在 Apache 2.0.44 及 以 后 的 版 本 中 可 用 


这 个 指令 控制 http 是 否 可 以 使 用 操作 系统 内 核 的 sendfile 支 持 来 将 文件 发 送 到 客户 端 。 默 认 
情况 下 ， 当 处理 一 个 请 求 并 不 需要 访问 文件 内 部 的 数据 时 (比如 发 送 一 个 静态 的 文件 内 容 )， 如 
果 操 作 系 统 支 持 ，Apache 将 使 用 sendfile 将 文件 内 容 直 接 发 送 到 客户 端 而 并 不 读 取 文件 。 


这 个 sendfile 机 制 避免 了 分 开 的 读 和 写 操 作 以 及 缓冲 区 分 配 ， 但 是 在 一 些 平 台 或 者 一 些 文件 系 
统 上 ， 最 好 茶 止 这 个 特性 来 避免 一 些 问题 : 


。 一 些 平台 可 能 会 有 编译 系统 检测 不 到 的 有 缺陷 的 sendfile 支 持 ， 特 别 是 将 在 其 他 平台 上 使 
用 交叉 编译 得 到 的 二 进 制 文件 运行 于 当前 对 sendfile 支 持 有 缺陷 的 平台 时 。 

e 在 Linux 上 启用 IPv6 时 ， 使 用 sendfile 将 会 触发 某 些 网 卡 上 的 TCP 校 验 和 逢 载 bug。 

当 Linux 运 行 在 ltanium 钦 理 器 上 的 时 候 ，sendfile 可 能 无 法 处 理 大 于 2GB 的 文件 。 

e 对 于 一 个 通过 网 络 挂 载 了 NFS 文 件 系统 的 DocumentRoot (比如 : NFS 或 SMB)， 内 核 可 能 
无 法 可 靠 的 通过 自己 的 缓冲 区 服务 于 网 络 文件 。 


如 果 出 现 以 上 情况 ， 你 应 当 禁 用 sendfile : 
EnableSendfile Off 
针对 NFS 或 SMB， 这 个 指令 可 以 被 针对 目录 的 设置 覆盖 : 


<Directory "/path-to-nfs-files"> 
EnableSendfile Off 
</Directory> 


ErrorDocument 指令 


说 明 当 遇 到 错误 的 时 候 服 务 器 将 给 客户 端 什么 样 的 应 答 


语法 ErrorDocument error-code document 

作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 

状态 核心 (C) 

模块 core 

兼容 性 在 Apache2.0 中 引用 文字 的 语法 发 生 了 变化 


当 遇 到 问题 或 错误 的 时 候 ，Apache 能 被 配置 为 进行 以 下 四 种 义理 之 一 : 

1， 输 出 一 个 简单 生硬 的 错误 代码 信息 

2. 输出 一 个 经 过 定制 的 信息 

3， 重 定向 到 一 个 本 地 的 URL-path 来 处 理 这 个 问题 (错误 ) 

4. 重 定向 到 一 个 外 部 的 URL 来 处 理 这 个 问题 (错误 ) 

默认 会 采取 第 1 种 方法 ， 而 第 2-4 种 方法 可 以 使 用 Errorbocument 指令 后 面 跟随 一 个 HTTP 应 答 
代码 和 一 个 URL 或 信息 来 进行 配置 。Apache 有 时 会 额外 提供 一 些 信息 来 描述 所 发 生 的 问题 / 错 
误 。 

URL 可 以 由 一 个 斜 杠 (/) 开 头 来 指示 一 个 本 地 URL( 相 对 于 DocumentRoot )， 或 是 提供 一 个 能 被 客 
户 端 解释 的 完整 的 URL。 此 外 还 能 提供 一 个 可 以 被 浏览 器 显示 的 消息 。 比 如 : 


ErrorDocument 500 http://foo.example.com/cgi-bin/tester 
ErrorDocument 404 /cgi-bin/bad urls.pl 
ErrorDocument 401 /subscription info.html 


ErrorDocument 403 "Sorry can't allow you access today" 


32k, FRAN" default " 值 可 以 被 用 来 指定 使 用 Apache 内 和 置 的 、 简 单 的 硬 编码 消息 。 当 不 需 
要 这 个 定制 特性 的 时 候 ， 可 以 用 " defaut "恢复 Apache 内 置 的 、 简 单 的 硬 编码 消息 ， 否 则 将 
继承 一 个 已 有 的 ErrorDocument o 


ErrorDocument 404 /cgi-bin/bad_urls.pl 
<Directory /web/docs> 


ErrorDocument 404 default 
</Directory> 


请 注意 ， 如 果 您 为 ErrorDocument 指定 了 一 个 外 部 的 URL( 比 如 说 ， 任何 在 开头 指示 了 类 

似 " http "这 样 的 访问 方法 的 字符 串 )，Apache 将 会 向 客户 端 发 送 一 个 重 定向 指令 来 告诉 它 在 
哪里 找到 这 个 文档 ， 哪 怕 这 个 文档 最 后 还 是 在 这 个 服务 器 上 。 这 里 面包 含 着 一 些 暗示 : 最 重 
要 的 就 是 客户 端 无 法 接收 到 原始 的 错误 状态 代码 ， 取 而 代 之 的 是 一 个 重 定向 状态 代码 。 这 将 


会 使 一 些 用 状态 代码 来 判断 一 个 URL 是 否 有 效 的 web 机 器 人 或 其 它 客户 端 产生 误解 。 另 外 ， 如 
果 您 在 " ErrorDocument 401 "中 使 用 了 外 部 URL， 客 户 端 将 不 会 提示 用 户 输入 密码 ， 因 为 它 根 
本 没收 到 这 样 一 个 401 的 状态 代码 。 所 以 ， 如 果 您 想 使 用 " ErrorDocument 401 "ED, mL A 
指向 一 个 本 地 的 文档 。 


Microsoft Internet Explorer (MSIE EIR 务 器 端 产生 的 错误 信息 "很 小 "的 时 候 会 忽略 它们 而 用 自 
己 " 友 好 的 "错误 信息 进行 取代 。 这 个 大 小 的 阔 值 根据 错误 类 型 而 不 同 。 但 一 般 来 说 ， 如 果 您 的 
著 误 信息 的 大 小 在 512 byte 以 上 ，MSIE 就 会 显示 这 些 服务 器 端 产 生 的 错误 文档 而 不 会 屏蔽 它 

们 。 您 可 以 在 微软 知识 库 的 文章 Q294807 中 获取 更 多 信息 。 


虽然 大 多 数 错误 信息 可 以 被 改写 ， 但 是 在 有 些 情 况 下 ， 将 仍然 使 用 某 些 内 置 的 错误 信息 而 不 
ErrorDocument 如 何 设置 。 特 别 是 在 检测 到 一 个 "畸形 "请 求 的 情况 下 ， 正 常 的 请 求 处 理 过 程 
将 会 被 立即 中 断 ， 并 且 立 即 返 回 一 个 内 置 的 错误 信息 。 这 是 为 了 防止 某 些 不 良 请 求 可 能 导致 
的 安全 问题 。 


在 2.0 版 以 前 ， 信 息 前 面 会 用 一 个 不 配对 的 双 引 号 作为 前 导 标 志 。 
参见 


z^ 


。 定制 个 性 化 应 答 文档 


ErrorLog 


说 明 存放 错 ; 误 日 日 志 的 位 置 
语法 ErrorLog file-path&#124;syslog[:facility] 
默认 值 ErrorLog logs/error log (Unix) ErrorLog logs/error.log (Windows 和 0S/2) 


作用 域 | server config, virtual host 
状态 核心 (C) 


模块 core 


ErrorLog 指使 指定 了 当 服 务 器 遇 到 错误 时 记录 错误 日 志 的 文件 。 如 果 file- path 不 是 一 个 以 斜 
杠 (/) 开 头 的 绝对 路 径 ， 那 么 将 被 认为 是 一 个 相对 于 serverRoot 的 相对 路 径 。 


示例 


ErrorLog /var/log/httpd/error log 
如 果 file-path 以 一 个 管道 符号 (|) 开 关 ， 那 么 会 为 它 指定 一 个 命 命 来 处 理 错误 日 志 。 


示例 


ErrorLog "|/usr/1local/bin/httpd errors" 


如 果 系 统 支 持 ， 使 用 " syslog "替代 文件 名 将 通过 syslogd(8) 来 记载 日 志 。 默 认 将 使 用 系统 日 志 


机 制 1ocaiz ， 但 您 可 以 用 " syslog: facility "语法 来 覆盖 这 个 设置 ， 其 中 ，facility 的 取 值 为 
syslog(1) 中 记载 的 任何 一 个 名 字 。 


示例 


ErrorLog syslog:user 


安全 提示 : 参阅 安全 提示 文档 获得 关于 为 什么 当 记 录 日 志文 件 的 目录 对 于 启动 服务 器 以 外 的 
用 户 可 写 时 会 对 您 的 服务 器 构成 安全 威胁 。 


MI 
LERRA 


当 在 非 Unix 平 台 上 输入 文件 路 径 的 时 候 ， 路 径 分 隔 符 必 须 统 一 使 用 正 斜 线 (/)， 即 使 那个 平台 
本 身 使 用 反 斜 线 ()。 


*  LogLevel 


e Apache Hé x fF 


FileETag #8 


说 明 用 以 创建 ETag 应 答 头 的 文件 的 属性 
语法 FileETag component ... 

默认 值 FileETag INode MTime Size 

作用 域 server config, virtual host, directory, .htaccess 

覆盖 项 Filelnfo 

状态 核心 (C) 

模块 core 


FileETag 指 今 配 置 了 当 文 档 是 基于 一 个 文件 时 用 以 创建 erag (实体 标签 ) 应 答 头 的 文件 的 属 ' 
( ETag 的 值 用 于 进行 缓冲 管理 以 节约 网 络 带 宽 )。 在 Apache1.3.22 及 以 前 ， ETag 的 值 总 是 
文件 的 inode( 索 引 节 点 )、 大 小 、 最 后 修改 时 间 决 定 。 FileETag 指令 可 以 让 您 选择 (如 果 您 想 
行 选择 ) 这 其 中 哪些 要 素 将 被 使 用 。 主 要 关键 字 如 下 : 


性 


进 


INode 

文件 的 索引 节点 (inode) 数 
MTime 

文件 的 最 后 修改 日 期 及 时 间 
Size 

文件 的 字 节 数 

All 


所 有 存在 的 域 ， 等 价 于 : 


FileETag INode MTime Size 


None 
如 果 一 个 文档 是 基于 文件 的 ， 则 不 在 应 答 中 包含 任何 ETag X 


可 以 在 inode ，MTime , size 前 加 上 " + "KR" - "以 改变 由 上 层 继 承 下 来 的 默认 值 。 任 何 没 有 
上 述 前 级 的 关键 字 将 立刻 完全 取消 继承 下 来 的 设置 。 


如 果 一 个 目 录 的 配置 包含 了 " FileETag INode MTime Size "而 其 一 个 子 目 录 包 含 
f" FileETag -INode "那么 这 个 子 目 录 的 设置 (并 会 被 其 下 任何 没有 进行 覆盖 的 子 目 录 继 承 ) 将 


等 价 于 " FileETag MTime Size "o 


«Files» 184 


说 明 包含 作用 于 匹配 指定 文件 名 的 指令 
语法 «Files filename&gt; ... &lt;/Files» 

VF FA server config, virtual host, directory, .htaccess 

覆盖 项 All 

状态 核心 (C) 

模块 core 


«Files» 指令 提供 了 基于 文件 名 的 访问 控制 ， 类 似 于 <pirectory> 和 «Location» 指令 。 它 将 
配对 一 个 </Files> 指令。 在 此 配置 段 中 定义 的 指令 类 作用 于 其 基本 名 称 (不 是 完整 的 路 径 ) 
指定 的 文件 名 相符 的 对 象 。 <Files> 段 将 根据 它们 在 配置 文件 中 出 现 的 顺序 被 处 理 : 

在 «Directory» FRA .htaccess 文件 被 处 理 之 后 ， 但 在 «Location» 段 之 前 。 请 注 

意 : «Files» BERRA SU <pirectory> 段 中 以 限制 它们 作用 的 文件 系统 范围 。 


flename 参 数 应 当 是 一 个 文件 名 或 是 一 个 包含 通配符 的 字符 串 ， 其 中 " "匹配 任何 单个 字 
符 ,，" * "匹配 任何 字符 串 序列 。 在 " - "字符 之 后 同样 可 以 使 用 正则 志 达 式 。 上 比如 : 


«Files ~ "\.(gif|jpe?g|png)$"> 


将 匹配 绝 大 部 分 常见 的 因特网 图 象 格式 。 然 而 在 Apache1.3 及 其 后 继 版 本 中 ， 更 推荐 使 


用 <FilesMatch> 18H43. 


请 注意 与 <Directory> 和 <Location> 配置 段 不 同 的 是 : «Files» 配置 段 可 用 于 .htaccess x 
件 当中 。 这 将 允许 用 户 在 文件 层面 上 控制 对 它们 自己 文件 的 访问 。 


e <Directory>、<Location>、<Files> 配 置 段 是 如 何 工 作 的 中 包含 了 当 接 受 一 个 请 求 时 ， 这 
些 不 同 的 配置 段 是 如 何 组 合 工 作 的 相关 解释 。 


<FilesMatch> 1&4 


说 明 包含 作用 于 与 正则 表达 式 匹 配 的 文件 名 的 指令 
语法 <FilesMatch regex&gt; ... &lt;/FilesMatch» 
作用 域 server config, virtual host, directory, .htaccess 
Emi All 
状态 核心 (C) 
模块 core 


<FilesMatch> 指令 就 像 <Files> 指 邻 一样 提供 了 针对 文件 名 的 访问 控制 。 然 而 ， 它 使 用 的 是 
正则 表达 式 。 比 如 说 : 


«FilesMatch "\.(gif|jpe?g|png)$"> 


将 匹配 最 常见 的 internet 图 形 文 件 格式 。 


e <Directory>、<Location>、<Files> 配 置 段 是 如 何 工作 的 中 包含 了 当 接 受 一 个 请 求 时 ， 这 
些 不 同 的 配置 段 是 如 何 组 合 工 作 的 相关 解释 。 


ForceType 184 


说 明 强制 所 有 匹配 的 文件 被 作为 指定 的 MIME 类 型 进行 伺服 


语法 ForceType MIME-type&#124;None 
作用 域 directory, .htaccess 

覆盖 项 Filelnfo 

状态 核心 (C) 

模块 core 

兼容 性 Apache 2.0 之 后 从 其 它 模块 移动 到 核心 中 


当 此 指使 放 入 .htaccess 文件 或 <Directory> 或 <Location> 或 <Files> 配置 段 时 ， 此 指 例 强 
制 所 有 匹配 的 文件 被 当 作 在 MIME-type 中 指定 的 Content-Type 来 伺服 。 比 如 说 ， 如 果 您 有 一 个 
包含 大 量 GIF 文件 的 目录 ， 可 您 又 不 想 全 都 为 它们 加 上 " .gif "扩展 名 的 话 ， 您 可 以 这 样 做 : 


ForceType image/gif 


请 注意 : 与 pefaultType 指令 不 同 ， 此 指令 将 履 盖 所 有 的 mime 类 型 关联 ， 包 括 标 识 文 件 类 型 
的 扩展 名 。 


你 可 以 通过 使 用 " None "覆盖 任何 ForceType 设置 : 


# ”强制 所 有 文件 为 image/gif: 
<Location /images> 


ForceType image/gif 
</Location> 


# 但 是 正常 的 mime 类 型 关联 在 这 里 : 
<Location /images/mixed> 


ForceType None 
</Location> 


HostnameLookups 1&4: 


说 明 启用 对 客户 端 IP 的 DNS 查找 
语法 HostnameLookups 0n&4124;0ff&4124;Double 
默认 值 HostnameLookups Off 
作用 域 server config, virtual host, directory 
状态 核心 (C) 


模块 core 


tis SR IDNSS;9, FEELER REAA EHHA REMoTE_HosT 变量 传递 给 CGIJSSI)。 
参数 double 指定 进行 一 次 双向 DNS 查询 。 也 就 是 说 在 一 次 反 向 查询 之 后 ， 再 对 返回 的 结果 进 
行 一 次 正 向 查询 。 在 正 向 查询 结果 中 至 少 应 该 有 一 个 ip 地 址 与 初始 的 地 址 相符 。 

(在 "tcpwrappers" 中 的 术语 是 PARANOID ) 


不 论 此 处 如 何 设置 ， 当 您 使 用 mod authz host 来 根据 主机 名 控制 访问 的 时 候 ， 就 会 执行 一 次 
双向 查询 。 这 对 安全 来 说 非常 必要 。 请 注意 如 果 您 没有 设置 " HostnameLookups Double "， 这 种 
双向 查询 的 结果 不 是 自动 生成 的 。 比 如 说 : 如 果 仅 仅 设置 了 " HostnameLookups on "而 且 请 求 是 
针对 一 个 根据 主机 名 做 了 限制 的 对 象 ， 不 论 双 向 查询 是 否 失败 ，CGI 还 是 会 把 单 向 查询 的 结果 
用 remote_Host 来 传送 。 

默认 值 设置 为 off 是 为 了 那些 不 需要 进行 反 向 查询 的 站 点 节约 网 络 带 宽 考 虑 的 。 这 对 最 终 用 
户 也 是 有 益 的 ， 因 为 这 样 他 们 就 不 用 忍受 查询 造成 的 延迟 了 。 高 访问 量 的 网 站 应 该 将 此 指令 
设置 为 off 因为 DNS 查询 会 造成 明显 的 时 间 消 耗 。 在 bin 目录 下 的 logresolve 工具 可 以 在 
离线 的 情况 下 对 已 经 记 入 日志 的 IP 地 址 进行 主机 名 的 查询 。 


«IfDefine» 1&2 


说 明 封装 一 组 只 有 在 启动 时 当 测 试 结果 为 真 时 寺 生 效 的 指 兮 
语法 «IfDefine [!]parameter-name&gt; ... &lt;/IfDefine» 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 All 
状态 核心 (C) 
模块 core 


«IfDefine test&gt;...&lt;/IfDefine» 配置 段 用 于 包含 有 条 件 的 指 兮 。 «IfDefine» 配置 段 中 
的 指令 仅 当 test 结 果 为 真 时 才 进 行 处 理 。 如 果 test 为 假 。 此 配置 段 中 的 指令 将 会 被 忽略 。 


<IfDefine> 配置 段 中 的 test 可 以 为 以 下 两 种 形式 之 一 : 


e parameter-name 
e! parameter-name 


在 第 一 种 情况 下 ， 仅 当 parameter-name 已 经 定义 的 情况 下 才 对 开始 和 结束 标记 之 间 的 指 合 进 
行 处 理 。 第 二 种 情况 则 截然 相反 。 仅 当 parameter-name 没 有 定义 的 情况 下 才 进 行 指 倒 的 多 
理 。 


parameter-name 是 在 服务 启动 时 ， 通 过 httpd 命令 行 的 -Dparameter 这 样 的 形式 指定 的 。 


<IfDefine> 配置 段 是 可 以 找 套 的 ， 从 而 可 以 实现 简单 的 多 参数 测试 。 比 如 说 : 


httpd -DReverseProxy ... 
# httpd.conf 
<IfDefine ReverseProxy> 
LoadModule rewrite_module modules/mod_rewrite.so 


LoadModule proxy module | modules/libproxy.so 
</IfDefine> 


«IfModule» 18 € 


说 明 封装 指 合并 根据 指定 的 模块 是 否 馈 用 为 条 件 而 决定 是 否 进行 处 理 
语法 <IfModule [!]module-file&4124;module-identifier&gt; ... &lt;/IfModule» 
作用 域 ^ server config, virtual host, directory, .htaccess 
Su All 
状态 核心 (C) 
模块 core 
兼容 性 ” ”module-identifier 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 
<IfModule test&gt;...&lt;/IfModule> 配置 段 用 于 封装 根据 指定 的 模块 是 否 启 用 而 决定 是 否 生 


SATE. TE «ifModule» 配置 段 中 的 指令 仅 当 test 为 真 的 时 候 才 进行 义理 。 如 果 test 为 假 ， 所 
有 其 间 的 指令 都 将 被 忽略 。 


<IfModule> 段 中 的 test 可 以 为 以 下 两 种 方式 之 一 : 


e module 
e Imodule 


在 第 一 种 情况 下 ， 起 始 和 结束 标记 之 间 的 指使 仅 当 module 被 载 入 后 才 被 执行 。 此 模块 可 以 为 
编译 时 静态 链接 进 核心 的 模块 或 是 使 用 Loadwodule 指使 动态 载 入 的 模块 。 第 二 种 情况 则 相 
Ix, t :Ámodule & S A a F St fT18 S BJ RE, 


module 可 以 是 模块 的 标识 符 或 者 是 编译 模块 时 的 文件 名 。 比 如 ， rewrite_module 就 是 一 个 模 
块 标 识 符 ， 而 mod rewrite.c 则 是 编译 模块 时 的 文件 名 。 如 果 模 块 包含 多 个 源 代码 文件 ， 您 应 
当 使 用 包含 STANDARD20_MODULE_STUFF 字符 串 的 那个 。 


<IfModule> 配置 段 是 可 以 伐 套 的 ， 从 而 可 以 实现 简单 的 多 模块 测试 。 


此 配置 段 主 要 用 于 需要 根据 某 个 特定 的 模块 是 否 存在 来 决定 是 否 使 用 某 些 配置 的 时 候 。 指 今 
一 般 都 放 在 «IfModule» 配置 段 中 。 


Include 指 今 


说 明 在 服务 器 配置 文件 中 包含 其 它 配置 文件 


语法 Include file-path&#124;directory-path 

作用 域 server config, virtual host, directory 

状态 核心 (C) 

模块 core 

兼容 性 通配符 仅 在 Apache 2.0.41 及 以 后 的 版 本 中 可 用 


这 个 指 合 允 许 在 服务 器 配置 文件 中 加 入 其 它 配 置 文件 。 


Shell 风 格 ( fnmatch() ) 的 通配符 可 以 用 于 按照 字母 顺序 一 次 包含 多 个 文件 。 另 外 ， 如 

果 Include 指向 了 一 个 目录 而 不 是 一 个 文件 ，Apache 将 读 入 该 目录 及 其 子 目 录 下 的 所 有 文 
件 ， 并 依照 字母 顺序 将 这 些 文件 作为 配置 文件 进行 解析 。 但 是 并 不 推荐 这 么 做 ， 因 为 偶尔 会 
有 临时 文件 在 这 个 目录 中 生成 ， 从 而 导致 httpd 启动 失败 。 


文件 的 路 径 可 以 是 一 个 完整 的 绝对 路 径 (以 一 个 斜 杠 开 头 ) : 


Include /usr/local/apache2/conf/ssl.conf 


Include /usr/local/apache2/conf/vhosts/*.conf 


或 是 相对 于 serverRoot 目录 的 相对 路 径 : 


Include conf/ssl.conf 


Include conf/vhosts/*.conf 


请 确保 包含 的 目录 中 不 包含 任何 诸如 编辑 器 临时 文件 等 引起 误导 的 文件 ， 因 为 Apache 会 党 试 
读 取 它 们 并 把 其 中 的 内 容 作为 配置 指令 来 多 理 ， 这 样 可 能 会 导致 启动 过 程 的 失败 。 运 行 
apachectl configtest 将 会 把 配置 检查 时 所 使 用 的 所 有 文件 列 出 来 以 供 参考 。 这 将 有 助 于 检 
验 配置 中 是 否 仅 包含 了 您 所 希望 出 现 那 些 文件 。 


root@host# apachectl configtest 

Processing config file: /usr/local/apache2/conf/ssl.conf 
Processing config file: /usr/local/apache2/conf/vhosts/vhosti.conf 
Processing config file: /usr/local/apache2/conf/vhosts/vhost2.conf 


Syntax OK 


y 


见 


*  apachectl 


KeepAlive 184 


说 明 启用 HTTP 持 久 链 接 
语法 KeepAlive On&4124;Off 
默认 值 KeepAlive On 
作用 域 server config, virtual host 
状态 核心 (C) 
模块 core 


Keep-Alive 扩 展 自 HTTP/1.0 和 HTTP/1.1 的 持久 链接 特性 。 提 供 了 长 效 的 HTTP 会 话 ， 用 以 在 
同一 个 TCP 连 接 中 进行 多 次 请 求 。 在 某 些 情况 下 ， 这 样 的 方式 会 对 包含 大 量 图 片 的 HTML 文 档 
造成 的 延 时 起 到 50% 的 加 速 作 用 。 在 Apache1.2 版 本 以 后 ， 您 可 以 设置 KeepAlive On 以 启用 
持久 链接 。 


对 于 HTTP/1.0 的 客户 端 来 说 ， 仅 当 客 户 端 指定 使 用 的 时 候 才 会 使 用 持久 链接 连接 。 此 外 ， 仅 
当 能 够 预先 知道 传输 的 内 容 长 度 时 ， 才 会 与 HTTP/1.0 的 客户 端 建立 持久 链接 连接 。 这 意味 着 
那些 长 度 不 定 的 内 容 ， 诸 如 CGI 输 出 、SSI 页 面 、 以 及 服务 器 端 生 成 的 目录 列表 等 内 容 一 般 来 
说 将 无 法 使 用 与 HTTP/1.0 客 户 端 建立 的 持久 链接 连接 。 而 对 于 HTTP/1.1 的 客户 端 来 说 ， 如 果 
没有 进行 特殊 指定 ， 持 久 将 是 默认 的 连接 方式 。 如 果 客 户 端 进行 了 请 求 ， 将 使 用 分 块 编码 以 
解决 在 持久 链接 里 发 送 未 知 长 度 内 容 的 问题 。 


y 


见 


* MaxKeepAliveRequests 


KeepAliveTimeout 1845 


说 明 持久 链接 中 服务 器 在 两 次 请 求 之 间 等 待 的 秒 数 
语法 KeepAliveTimeout seconds 
默认 值 KeepAliveTimeout 5 
作用 域 server config, virtual host 
状态 核心 (C) 
模块 core 


Apache 在 关闭 持久 连接 前 等 待 下 一 个 请 求 的 秒 数 。 一 旦 收 到 一 个 请 求 ， 超 时 值 将 会 被 设置 
为 Timeout 指 今 指定 的 秒 数 。 


对 于 高 负荷 服务 器 来 说 ， KeepAliveTimeout 值 较 大 会 导致 一 些 性 能 方面 的 问题 : 超时 值 越 
大 ， 与 空闲 客户 端 保持 连接 的 进程 就 越 多 。 


<Limit> 
说 明 仅 对 指定 的 HTTP 方 法 进行 访问 控制 
语法 «Limit method [method] ... &gt; ... &lt;/Limit» 
VF FA server config, virtual host, directory, .htaccess 
Emi All 
状态 核心 (C) 
模块 core 


访问 控制 一 般 来 说 是 对 所 有 的 访问 方法 都 生效 的 ， 这 也 是 我 们 普通 希望 达到 的 效果 。 一 般 情 
况 下 ， 访 问 控制 指令 不 应 该 放 入 <Limit> 段 中 。 


«Limit» 指 邻 的 目的 是 限制 访问 控制 的 效果 使 其 仅 作 用 于 某 些 HTTP 方 法 。 对 于 其 它 方 


法 ， «Limit» 括号 中 的 访问 限制 将 不 起 任何 作用 。 下 例 中 的 访问 控制 仅 作 用 于 post ，PuT ， 
DELETE 方法 ， 其 它 方法 不 受 任何 影响 


<Limit POST PUT DELETE> 


Require valid-user 
</Limit> 


列 出 的 方法 名 可 为 下 列 的 一 个 或 多 个 : GET, POST, PUT, DELETE , CONNECT , OPTIONS, 
PATCH , PROPFIND , PROPPATCH , MKCOL , COPY, MOVE, LOCK, UNLOCK 。 方 法 名 是 大 小 写 敏 


感 的 。 如 果 对 cet 进行 了 定义 ， 它 会 同时 作用 于 HEAD 请 求 。 TRACE 方法 不 能 被 限制 。 


应 当 总 是 优先 使 用 <LimitExcept> 段 来 限制 访问 ， 而 不 是 <Limit> 段 。 因 为 <LimitExcept> FR 
能 够 防范 所 有 HTTP 方 法 。 


<LimitExcept> 
说 明 对 除了 指定 方法 以 外 的 所 有 HTTP 方 法 进行 访问 控制 
语法 <LimitExcept method [method] ... &gt; ... &lt;/LimitExcept» 
作用 域 server config, virtual host, directory, .htaccess 
fe unc All 
状态 核心 (C) 


模块 core 


«LimitExcept» 和 «/LimitExcept» 用 于 封装 一 组 访问 控制 指令 ， 并 将 其 作用 于 所 有 没有 在 参数 
中 标 出 的 HTTP 方 法 。 也 就 是 说 ， 与 <Limit> 相反 ， 它 用 于 控制 标准 的 和 非 标准 以 及 无 法 辨识 
的 方法 。 


比如 : 


«LimitExcept POST GET» 


Require valid-user 
«/LimitExcept» 


LimitInternalRecursion 1845 
说 明 指定 内 部 重 定向 和 著 套 子 请 求 的 最 大 数量 
语法 LimitInternalRecursion number [number] 
默认 值 LimitInternalRecursion 10 
VF FA server config, virtual host 
状态 核心 (C) 
模块 core 
兼容 性 仅 在 Apache 2.0.47 及 以 后 的 版 本 中 可 用 


例如 ， 当 使 用 Action 指令 内 部 重 定向 原始 请 求 到 一 个 CGI 脚本 时 ， 一 个 内 部 重 定向 将 会 发 
生 。 子 请 求 是 Apache 的 一 个 用 于 找到 如 果 一 个 URI 被 请 求 时 将 会 发 生 什么 的 机 制 。 例 
AN, mod_dir 使 用 子 请 求 来 寻找 那些 根据 Directoryrndex 指 今 应 当 被 列 出 的 文件 。 


LimitInternalRecursion "TELE AE AR 4-28 SEA — 1 PIE ER XE [8] XA Fiat RAE E TIU BB 23 o 这 
样 的 死 循环 通常 由 错误 的 配置 引起 。 


这 个 指令 存储 了 两 个 不 同 的 限制 ， 这 两 个 限制 是 基于 每 个 单独 的 请 求 进行 计算 的 。 第 一 个 
number 限 制 了 内 部 重 定向 链 的 最 大 长 度 (一 个 接 一 个 )。 第 二 个 number 限 制 了 子 请 求 的 最 大 艇 
套 层 数 。 如 果 你 只 指定 了 一 个 humber ， 那 么 将 会 被 同时 应 用 于 这 两 个 限制 。 


示例 


LimitInternalRecursion 5 


LimitRequestBody 1&4 


说 明 限制 客户 端 发 送 的 HTTP 请 求 体 的 最 大 字 节 长 度 


语法 LimitRequestBody bytes 

默认 值 LimitRequestBody 0 

作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 All 

KA 核心 (C) 

模块 core 


bytes 在 0( 意 味 着 无 限制 ) 到 2147483647(2GB) 间 限制 了 请 求 体 所 允许 的 字 节 数 。 


LimitRequestBody 可 以 让 用 户 在 其 作用 范围 内 (整个 服务 器 、 特 定 目录 、 特 定 文 件 、 特 定位 置 ) 
设置 一 个 允许 客户 端 发 送 的 HTTP 请 求 体 的 最 大 字 节 长 度 的 限制 。 如 果 客 户 端的 请 求 超出 了 这 
个 限制 ， 服 务 器 会 回应 一 个 错误 而 不 是 伺服 这 个 请 求 。 一 个 普通 请 求 的 信息 体 在 很 大 程度 上 
取决 于 资源 的 自然 属性 和 这 个 资源 允许 的 方法 。CGI 脚 本 经 常用 消息 体 把 表单 的 信息 传递 给 服 
务 器 。 使 用 pur 方法 至 少 会 需要 与 服务 器 期 望 从 这 个 资源 得 到 的 信息 量 差 不 多 大 小 的 值 。 


此 指令 给 了 服务 器 管理 员 更 大 的 可 控 性 以 控制 客户 端 不 正常 的 请 求 行为 。 这 有 助 于 避免 某 些 
形式 的 拒绝 服务 攻击 。 


比如 ， 如 果 您 允许 文件 上 传 到 某 个 位 置 ， 而 且 希 望 能 将 上 传 文件 的 大 小 设置 为 100K， 您 可 以 
使 用 下 面 的 指 今 : 


LimitRequestBody 102400 


LimitRequestFields 184: 


说 明 限制 接受 客 户 端 请 求 中 HTTP 请 求 头 域 的 数量 
语法 LimitRequestFields number 
默认 值 LimitRequestFields 100 
作用 域 server config 
RA 核心 (C) 
模块 core 


Number 是 一 个 0( 意 味 着 不 限 ) 到 32767 之 间 的 整数 。 默 认 值 为 编译 时 的 常 


量 DEFAULT. LIMIT. REQUEST. FIELDS (发 布 值 为 100)。 

LimitRequestFields 指使 人 允许 服 务 器 管理 员 修改 在 一 个 HTTP 请 求 中 的 请 求 头 域 的 数量 限制 。 
服务 器 需要 此 值 大 于 一 个 普通 客 户 端 请 求 中 包含 头 域 的 数量 。 一 个 客户 端 请 求 头 域 的 数量 很 
少 大 于 20， 但 根据 客户 端的 不 同 这 个 数字 有 很 大 的 差别 ， 经 常 取决 于 用 户 配 置 他 们 的 浏览 器 


扩展 以 支持 更 详细 的 内 容 协 商 。 可 选 的 HTTP 扩 展 经 常 使 用 请 求 头 域 来 实现 。 


这 个 指令 给 了 服务 器 管理 员 更 大 的 可 控 性 以 控制 客户 端 不 正常 的 请 求 行 为 。 这 有 助 于 避免 某 
些 形式 的 拒绝 服务 攻击 。 如 果 正 常 使 用 的 客户 端 得 到 了 服务 器 的 错误 应 答 ， 指 出 其 在 请 求 中 
发 送 了 过 多 的 头 域 ， 您 应 该 适当 的 增 大 此 值 。 


例如 : 


LimitRequestFields 50 


LimitRequestFieldSize 184 


说 明 限制 客户 端 发 送 的 请 求 头 的 字 节 数 
语法 LimitRequestFieldsize bytes 
默认 值 LimitRequestFieldsize 8190 
VF FA server config 
RA 核心 (C) 
模块 core 


bytes 指 定 了 HTTP 请 求 头 允许 的 字 节 大 小 。 


LimitRequestFieldsize 指令 允许 服务 器 管理 员 增 加 或 减少 HTTP 请 求 头 域 大 小 的 限制 。 一 般 
来 说 ， 服 务 器 需要 此 值 足够 大 ， 以 适应 普通 客户 端的 任何 请 求 的 头 域 大 小 。 一 个 普通 头 域 的 
大 小 对 于 不 同 的 客户 端 来 说 是 有 很 大 差别 的 ， 一 般 与 用 户 配 置 他们 的 浏览 器 以 支持 更 多 的 内 
容 协议 密切 相关 。SPNEGO 的 认证 头 最 大 可 能 达到 12392 字 节 。 


这 个 指令 给 了 服务 器 管理 员 更 大 的 可 控 性 以 控制 客户 端 不 正常 的 请 求 行 为 。 这 有 助 于 避免 某 
些 形式 的 拒绝 服务 攻击 。 


举例 如 下 : 


LimitRequestFieldSize 4094 


一 般 情况 下 ， 请 不 要 改变 这 个 设置 ， 而 是 保持 其 默认 设置 。 


LimitRequestLine 指令 


说 明 限制 接受 客户 端 发送 的 HTTP 请 求 行 的 字 节 数 


语法 LimitRequestLine bytes 
默认 值 LimitRequestLine 8190 
作用 域 server config 

状态 核心 (C) 

模块 core 


bytes 将 设置 HTTP 请 求 行 的 字 节 数 限 制 。 


LimitRequestLine 指令 允许 服务 器 管理 员 增 加 或 减少 客户 端 HTTP 请 求 行 允 许 大 小 的 限制 。 
为 请 求 行 包括 HTTP 方 法 、URI、 协 议 版 本 ， 所 以 LimitRequestLine 指令 会 限制 请 求 URI 的 长 
度 。 服 务 器 会 需要 这 个 值 足够 大 以 装载 它 所 有 的 资源 名 ， 包 括 可 能 在 GET 请 求 中 所 传递 的 查 
询 部 分 的 所 有 信息 。 


这 个 指令 给 了 服务 器 管理 员 更 大 的 可 控 性 以 控制 客户 端 不 正常 的 请 求 行 为 。 这 有 助 于 避免 某 
些 形式 的 拒绝 服务 攻击 。 


举例 如 下 : 


LimitRequestLine 4094 


一 般 情 况 下 ， 不 需要 改变 此 设置 的 默认 值 。 


LimitXMLRequestBody #8 


说 明 限制 基于 XML 的 请 求 体 的 大 小 
语法 LimitXMLRequestBody bytes 
默认 值 LimitXMLRequestBody 1000000 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 All 
状态 核心 (C) 
模块 core 


限制 基于 XML 的 请 求 体 大 小 的 最 大 字 节 数 ，" 6 "将 禁用 这 一 检查 。 
比如 : 


LimitXMLRequestBody 0 


«Location» 指令 


说 明 将 封装 的 指令 作用 于 匹配 的 URL 
语法 «Location URL-path&#124;URL&gt; ... &lt;/Location» 
作用 域 server config, virtual host 
状态 核心 (C) 
模块 core 


«Location» 提供 了 基于 URL 的 访问 控制 。 和 与 <Directory 指令 类 似 ， 它 也 会 启用 一 个 
以 </Location> 结尾 的 配置 段 。 «Location» 配置 段 的 处 理 位 于 «Directory» , .htaccess , 
«Files» 之 后 ， 并 依照 在 配置 文件 中 出 现 的 顺序 进行 处 理 。 


«Location» 配置 段 完全 独立 于 文件 系统 之 外 操作 。 这 有 几 个 重要 的 后 果 。 最 重要 的 
是 «Location» 不 能 用 于 针对 文件 系统 的 访问 控制 。 因 为 可 能 会 有 几 个 不 同 的 URL 指 向 文件 系 
统 中 的 同一 个 文件 ， 所 以 这 样 的 控制 常常 会 被 很 容易 的 绕 过 。 


何 时 使 用 «Location» ? 


使 用 «Location» 来 将 指令 应 用 于 独立 于 文件 系统 之 外 的 内 容 。 文 件 系统 之 内 的 内 容 请 使 
用 <pDirectory> 和 «Files» 指令 。 不 过 一 个 例外 是 «Location /> ， 它 可 以 方便 的 作用 于 所 用 
URL。 


对 所 有 的 原始 ( 非 代理 ) 请 求 来 说 ， 匹 配 的 URL 应 该 是 具有 " /path/ "形式 的 URL 路 径 。 不 包括 
访问 方法 、 主 机 名 、 端 口 或 查询 字符 串 等 。 对 于 代理 的 请 求 ， 匹 配 的 URL 必 须 
A" scheme://servername/path "的 形式 ， 而 且 必 须 包 括 前 级 。 


URL 可 以 用 一 个 通配符 字符 串 来 进行 通配符 的 处 理 。"? "匹配 任何 单个 的 字符 ， 而 "* "匹配 
所 有 字符 序列 。 


也 可 以 附加 "~ "字符 来 表示 使 用 正则 表达 式 。 例 如 : 


«Location ~ "/(extra|special)/data"> 


将 匹配 所 有 包含 字符 串 " /extra/data "BK" /special/data "的 URL。 在 Apache1.3 及 其 后 续 版 本 
中 ， 加 入 了 一 个 新 的 推荐 使 用 的 <LocationMatch> 指令 ， 其 功能 与 «Location» 的 正则 表达 式 
版 本 相同 。 


«Location» 的 功能 在 与 setHandler 1843 XX Rd BE 挥 最 大 效能 。 比如 启用 状态 请 求 ， 但 仅 对 
来 自 foo.com 的 用 户 起 效 ， 您 可 以 这 样 使 用 : 


«Location /status» 
SetHandler server-status 
Order Deny,Allow 

Deny from all 


Allow from .foo.com 
«/Location» 


请 注意 "/"( 斜 线 ) 


斜 线 字符 根据 它 在 URL 中 出 现 的 位 置 不 同 有 着 特殊 的 意义 。 大 家 可 能 都 已 经 习惯 在 文件 系统 
中 ， 多 个 连续 的 斜 线 会 被 作为 单一 的 斜 线 处 理 (例如 " /home///foo "5" /home/foo "相同 )。 但 在 
URL 里 面 ， 这 样 是 行 不 通 的 。 <LocationMatch> 指令 和 正则 表达 式 版 本 的 «Location» 要 求 您 
明确 使 用 多 重 斜 线 。 比 如 : <LocationMatch ^/abc» 将 匹配 请 求 " /abc "但 不 会 匹配 请 

5K" //abc "。 而 非 正 则 表达 式 版 本 的 <Location> 指令 在 用 于 代理 请 求 时 ， 也 有 类 似 表 现 。 但 
当 非 正则 表达 式 版 本 的 «Location» 作用 于 非 代理 请 求 时 ， 它 会 将 多 个 毗邻 的 斜 线 认 作 单 个 斜 
线 。 比 如 ， 如 果 您 指定 了 «Location /abc/def» 而 请 求 是 指向 " /abc//def "的 ， 那 么 它们 就 是 
匹配 的 。 


e <Directory>、<Location>、<Files> 配 置 段 是 如 何 工作 的 中 包含 了 当 接 受 一 个 请 求 时 ， 这 
些 不 同 的 配置 段 是 如 何 组 合 工 作 的 相关 解释 。 


<LocationMatch> 1&4 


说 明 将 封装 的 指令 作用 于 正则 表达 式 匹 配 的 URL 
语法 <LocationMatch regex&gt; ... &lt;/LocationMatch» 
VF FA server config, virtual host 
状态 核心 (C) 
模块 core 


<LocationMatch> 和 «Location» 指令 相同 ， 提供 了 基于 URL 的 访 问 控制 。 但 它 使 用 正则 表达 
式 作为 参数 ， 而 不 是 简单 字符 串 。 比 如 : 


<LocationMatch "/(extra|special)/data"> 


将 匹配 包含 子 串 " /extra/data "或 " /special/data "的 URL。 


e <Directory>、<Location>、<Files> 配 置 段 是 如 何 工 作 的 中 包含 了 当 接 受 一 个 请 求 时 ， 
些 不 同 的 配置 段 是 如 何 组 合 工作 的 相关 解释 。 


LogLevel 184 


说 明 
语法 
默认 值 
作用 域 


模块 


LogLevel 用 于 调整 记录 在 错误 日 志 中 的 信息 的 详细 程度 。( 参 见 ErrorLog 指令 )。 可 以 选择 下 


控制 错误 日 志 的 详细 程度 
LogLevel level 
LogLevel warn 
server config, virtual host 
核心 (C) 


core 


列 level， 依 照 重 要 性 降序 排列 : 


Level 描述 
紧急 (系统 无 
emerg : 
法 使 用 ) 
alert WRAL BIAS 
取 措 施 
crit 致命 情况 
error ”错误 情况 
varn ”警告 情况 
— pi [ 
notice : 般 重 要 情 
况 
info 普通 信息 
debug 调 试 信息 


例子 


"Child cannot open lock file. Exiting" 


"getpwuid: couldn't determine user name from uid" 


"socket: Failed to get a socket, exiting child" 
"Premature end of script headers" 


"child process 1234 did not exit, sending another SIGHUP" 
"httpd: caught SIGBUS, attempting to dump core in ..." 


"Server seems busy, (you may need to increase 
StartServers, or Min/MaxSpareServers)..." 


"Opening config file ..." 


i 


当 指 定 了 某 个 级 别 时 ， 所 有 级 别 高 于 它 的 信息 也 会 被 同时 记录 。 上 比如 ， 指 定 LogLevel info 
， 则 所 有 notice 和 warn 级 别 的 信息 也 会 被 记录 。 


建议 至 少 使 用 crit 级 别 。 


示例 如 下 : 


LogLevel notice 


> 
LER 


当 错 误 日 志 是 一 个 单独 分 开 的 正式 文件 的 时 候 ， notice 级 别 的 消息 总 是 会 被 记录 下 来 ， 而 不 
BEAR BER. (Be, 4A syslog 来 记录 时 就 没有 这 个 问题 。 


MaxKeepAliveRequests 指 今 


说 明 一 个 持久 链接 中 人 允许 的 最 大 请 求 数量 
语法 MaxKeepAliveRequests number 
默认 值 MaxKeepAliveRequests 100 
作用 域 server config, virtual host 
状态 核心 (C) 
模块 core 


MaxKeepAliveRequests 指使 限制 了 当 启 用 keepalive 时 ， 每 个 连接 允许 的 请 求 数 量 。 如 果 将 此 
值 设 为 " 9 "， 将 不 限制 请 求 的 数目 。 我 们 建议 最 好 将 此 值 设 为 一 个 比较 大 的 值 ， 以 确保 最 优 
的 服务 器 性 能 。 


例如 : 


MaxKeepAliveRequests 500 


NameVirtualHost i18 4 


说 明 为 一 个 基于 域名 的 虚拟 主机 指定 一 个 IP 地 址 (和 端口 ) 
语法 NameVirtualHost addr[:port] 
VF FA server config 
状态 核心 (C) 
模块 core 


<L 


如 果 您 要 配置 基于 域名 的 虚拟 主机 ， NameVirtualHost 指使 就 是 您 必须 的 指使 之 一 。 


尽管 addr 参 数 可 以 使 用 主机 名 ， 但 建议 您 还 是 使 用 IP 地 址 。 比 如 : 


NameVirtualHost 111.22.33.44 


使 用 NamevirtualHost 指令 ， 您 可 以 指定 一 个 基于 域名 的 虚拟 主机 将 使 用 哪个 IP 地 址 来 接受 请 
求 。 在 一 个 防火 墙 或 是 其 它 代 理 接受 了 请 求 并 把 它 转 到 服务 器 所 在 的 另外 一 个 IP 地 址 上 的 情 
况 下 ， 您 必须 指定 伺服 请 求 的 机 器 物理 界面 上 的 IP 地 址 。 如 果 您 对 于 多 个 地 址 使 用 了 多 个 基 
于 域名 的 虚拟 主机 ， 您 应 该 为 每 个 地 址 使 用 这 个 指 倒 。 


" 主 服 务 器 "和 任何 其 它 "_default "服务 器 都 不 会 伺服 发 送 到 NamevirtualHost IP 地 址 的 请 
求 。 (除非 您 指定 了 NameVirtualHost , 但 没有 为 这 个 地 址 指定 任何 VirtualHost )。 


另外 ， 您 还 可 以 为 您 使 用 的 基于 域名 的 虚拟 主机 指定 一 个 端口 号 。 比 如 : 


NameVirtualHost 111.22.33.44:8080 


IPv6 地 址 必须 封装 在 一 对 方 括号 内 ， 如 下 例 所 示 : 


NameVirtualHost [2001:db8::a00:20ff:fea7:ccea]:8080 


为 了 接受 所 有 界面 的 请 求 ， 您 可 以 使 用 ，" : 


NameVirtualHost * 


^ 已 [a 
<VirtualHost> 虽 倒 的 参数 
请 注意 ， <VirtualHost> 指使 的 参数 必须 与 NameVirtualHost 指使 的 参数 完全 匹配 。 


NameVirtualHost 1.2.3.4 
<VirtualHost 1.2.3.4> 
TS 


</VirtualHost> 


参见 


z 


e 虚拟 主机 文档 


Options 指 今 


说 明 配置 在 特定 目录 中 可 以 使 用 哪些 特性 


语法 Options [*&4124;-]option [[*&4124;-]option] ... 
默认 值 Options All 

作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Options 

状态 核心 (C) 

模块 core 


options 指 今 控 制 了 在 特定 目录 中 将 使 用 哪些 服务 器 特性 。 
option 可 以 为 None ， 在 这 种 情况 下 ， 将 不 启用 任何 额外 特性 。 或 设置 为 以 下 选项 中 的 一 个 或 


多 个 : 


All 

KR Multiviews 之 外 的 所 有 特性 。 这 是 默认 设置 。 

ExecCGI 

允许 使 用 mod cgi 执行 CGI 脚本 。 

FollowSymLinks 

服务 器 允许 在 此 目录 中 使 用 符号 连接 。 

注意 : 即使 服务 器 会 使 用 符号 连接 ， 但 它 不 会 改变 用 于 匹配 «Directory» 段 的 路 径 名 。 
注意 : 如 果 此 配置 位 于 <Location> 配置 段 中 ， 则 此 设置 会 被 忽略 。 

Includes 


允许 使 用 mod include 提供 的 服务 器 端 包 含 。 


IncludesNOEXEC 


允许 服务 器 端 包 含 ， 但 禁用 " #exec cmd "和 " #exec cgi "。 但 仍 可 以 从 scriptalias 目录 使 
FA" #include virtual "虚拟 CGI 脚本 。 


Indexes 


如 果 一 个 映射 到 目录 的 URL 被 请 求 ， 而 此 目录 中 又 没有 directoryindex ( 例 
如 : index.html )， 那么 服务 器 会 返回 由 mod_autoindex 生成 的 一 个 格式 化 后 的 目 录 列 表 。 


MultiViews 


允许 使 用 mod negotiation 提供 内 容 协 商 的 "多 重视 图 "(MultiViews)。 


SymLinksIfOwnerMatch 


服务 器 仅 在 符号 连接 与 其 目的 目录 或 文件 的 拥有 者 具有 相同 的 uid 时 才 使 用 它 。 


注意 
如 果 此 配置 出 现在 <Location> 配置 段 中 ， 此 选项 将 被 忽略 。 


一 般 来 说 ， 如 果 一 个 目录 被 多 次 设置 了 options ， 则 最 特殊 的 一 个 会 被 完全 接受 (其 它 的 被 忽 
略 )， 而 各 个 可 选项 的 设 定 彼 此 并 不 融合 (参见 配置 段 的 合并 )。 "e 如 果 所 有 作用 

于 options 指使 的 可 选项 前 都 加 有 " + "或 ”- "符号 ， 此 可 选项 将 被 合并 。 所 有 前 面 加 

有 " + "号 的 可 选项 将 强制 覆盖 当前 的 可 选项 设置 ， 而 所 有 前 面 有 "”- "号 的 可 选项 将 强制 从 当 
前 可 选项 设置 中 去 除 。 


比如 ， 没 有 任何 " + "Sk" - "符号 : 


<Directory /web/docs> 


Options Indexes FollowSymLinks 
</Directory> 


<Directory /web/docs/spec> 


Options Includes 
</Directory> 


那么 只 有 将 Includes 设置 到 /web/docs/spec 目录 上 。 然而 如 果 第 二 个 Options 指令 使 用 
了 " "m "AD" 3 "符号 : 


<Directory /web/docs> 


Options Indexes FollowSymLinks 
</Directory> 


<Directory /web/docs/spec> 


Options +Includes -Indexes 
</Directory> 


那么 就 会 有 FollowSymLinks 和 Includes 设置 到 /web/docs/spec 目录 上 。 
ste 
LE 


使 用 -IncludesNOEXEC 或 -Includes Hj, 不 论 前 面 如 何 设置 ， 都 会 禁用 服务 器 ie. 


没有 其 它 设置 时 ， 默 认 设 置 为 all 。 


Require #83 


说 明 指定 哪些 认证 用 户 允 许 访问 该 资源 


语法 Require entity-name [entity-name] ... 
作用 域 directory, .htaccess 

Emi AuthConfig 

状态 核心 (C) 

模块 core 


这 个 指令 指定 哪些 认证 用 户 允 许 访问 该 资源 。 这 些 限 制 由 授权 支持 模块 实现 。 语 法 如 下 : 
Require user userid [userid] ... 

只 有 指定 的 用 户 可 以 访问 此 目录 。 

Require group group-name [group-name] ... 

只 有 隶属 于 指定 组 的 用 户 可 以 访问 此 目录 。 


Require valid-user 
所 有 有 效用 户 都 可 以 访问 此 目录 。 


提供 Require 指使 的 授权 支持 模块 有 : mod authz user , mod authz groupfile , 


mod authnz ldap , mod authz dbm , mod authz owner o 


Require 必须 伴随 AutnName 和 AuthType #843, EAE authuserFile 和 AuthGroupFile 指 
命 (用 以 定义 用 户 和 用 户 组 ) 以 确保 其 能 够 正确 工作 。 例 如 : 


AuthType Basic 

AuthName "Restricted Resource" 
AuthUserFile /web/users 
AuthGroupFile /web/groups 


Require group admin 


使 用 这 种 方法 提供 的 访问 控制 对 所 有 方法 都 有 效 。 这 是 一 般 情 况 下 期 望 达到 的 效果 。 如 果 您 
仅 希 望 对 某 个 特定 的 方法 加 以 限制 ， 而 不 涉及 其 它 方法 时 ， 您 可 以 将 Require 语句 放 
人 «Limit» 配置 段 中 。 


如 果 Require 与 Allow 或 Deny 指 合同 时 使 用 ， 那 么 这 些 指 合 之 间 的 相互 作用 由 satisty 指令 
控制 。 
在 子 目录 中 删除 访问 控制 


下 面 的 例子 展示 了 如 何 使 用 satisfy 指令 在 一 个 受 保护 的 目录 下 的 子 目 录 中 取消 访问 控制 。 
使 用 这 种 方法 必须 十 分 小 心 ， 因 为 它 取消 了 mod_authz_host 实现 的 任何 访问 控制 。 


«Directory /path/to/protected/» 


Require user david 
«/Directory» 


<Directory /path/to/protected/unprotected> 
# 该 目录 下 的 所 有 认证 和 访问 控制 都 被 取消 了 
Satisfy Any 


Allow from all 
«/Directory» 


参见 


EA 


e 认证、 授权、 访问 控制 
@ Satisfy 


@ mod authz host 


RLimitCPU 1&4; 


说 明 限制 Apache 子 进程 派生 的 进程 占用 CPU 的 最 大 秒 数 
语法 RLimitCPU seconds&#124;max [seconds&#124;max] 
默认 值 未 定义 ， 使 用 操作 系统 默认 值 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 All 
状态 核心 (C) 
模块 core 


使 用 一 个 或 两 个 参数 。 第 一 个 参数 设置 了 所 有 进程 的 软 资源 限制 ， 第 二 个 参数 设置 了 最 大 资 
源 限 制 。 两 个 参数 均 可 设置 为 一 个 数值 或 是 " max "以 表示 设置 为 操作 系统 允许 的 最 大 值 。 增 
大 此 资源 限制 最 大 值 需要 以 root 运行 服务 器 或 是 在 初始 化 启动 语句 中 进行 设置 。 


这 个 限制 将 作用 于 Apache 子 进程 服务 的 请 求 所 衍生 出 的 进程 ， 而 不 是 Apache 子 进程 本 身 。 这 
个 范围 包括 CGI 脚本 和 SSI 执 行 命令， 但 不 包括 所 有 从 Apache 父 进程 衍生 出 的 进程 。 比 如 管道 


日 志 。 


CPU 资源 限制 表示 为 每 进程 占用 的 秒 数 。 


©  RLimitMEM 


*  RLimitNPROC 


RLimitMEM 1&4 


说 明 限制 由 Apache 子 进程 派生 的 进程 占用 的 最 大 内 存 字 节 数 
语法 RLimitMEM bytes&#124;max [bytes&#124;max] 
默认 值 未 定义 ， 使 用 操作 系统 默认 值 
作用 域 Server config, virtual host, directory, .htaccess 
覆盖 项 All 
状态 核心 (C) 
模块 core 


使 用 一 个 或 两 个 参数 。 第 一 个 参数 设置 了 所 有 进程 的 软 资源 限制 ， 第 二 个 参数 设置 了 最 大 3 
源 限制 。 两 个 参数 均 可 设置 为 一 个 数值 或 是 " max "以 表示 设置 为 操作 系统 允许 的 最 大 值 。 
大 此 资源 限制 最 大 值 需要 以 root 运行 服务 器 或 是 在 初始 化 启动 语句 中 进行 设置 。 


AP 


S 


i 


这 个 限制 将 作用 于 Apache 子 进程 服务 的 请 求 所 衍生 出 的 进程 ， 而 不 是 Apache 子 进程 本 身 。 这 
个 范围 包括 CGI 脚本 和 SSI 执 行 命令， 但 不 包括 所 有 从 Apache 父 进程 衍生 出 的 进程 。 比 如 管道 


日 志 。 


内 存 资 源 限制 表示 为 每 进程 占用 的 字 节 数 。 


@  RLimitCPU 


*  RLimitNPROC 


RLimitNPROC 1847 


说 明 限制 由 Apache 子 进程 派生 的 进程 所 派生 的 进程 数目 
gk RLimitNPROC number&#124;max [number&£124;max] 
默认 值 未 定义 ， 使 用 操作 系统 默认 值 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 All 
状态 核心 (C) 
模块 core 


使 用 一 个 或 两 个 参数 。 第 一 个 参数 设置 了 所 有 进程 的 软 资 源 限制 ， 第 二 个 参数 设置 了 最 大 资 
源 限 制 。 两 个 参数 均 可 设置 为 一 个 数值 或 是 " max "以 表示 设置 为 操作 系统 允许 的 最 大 值 。 增 
大 此 资源 限制 最 大 值 需要 以 root 运行 服务 器 或 是 在 初始 化 启动 语句 中 进行 设置 。 


这 个 限制 将 作用 于 Apache 子 进程 服务 的 请 求 所 衍生 出 的 进程 ， 而 不 是 Apache 子 进程 本 身 。 这 
个 范围 包括 CGI 脚本 和 SSI 执 行 命 舍 ， 但 不 包括 所 有 从 Apache 父 进程 衍生 出 的 进程 。 比 如 管道 


日 志 。 


进程 限制 控制 了 每 个 用 户 的 进程 数 。 


~~ = 
LER 


如 果 CGI 进 程 不 是 以 web 服 务 器 的 uid 启 动 的 ， 那 么 这 个 指令 将 限制 服务 器 自己 能 够 创建 的 进 
程 数 目 。 此 种 情况 将 在 error_log HLA" cannot fork "进行 记录 。 


*  RLimitMEM 


*  RLimitCPU 


Satisfy #83 


说 明 主机 级 别 的 访问 控制 和 用 户 认 证 之 间 的 相互 关系 
EET Satisfy Any&4124;All 
默认 值 Satisfy All 
作用 域 directory, .htaccess 
覆盖 项 AuthConfig 
状态 核心 (C) 
模块 core 
兼容 性 2.0.51 及 以 后 版 本 中 受 <Limit> 和 <Limitexcept> 指令 影响 


同时 使 用 allow 和 Require 时 的 访问 策略 。 参 数 可 以 设置 为 A11 或 any 。 这 个 指令 仅 在 某 
个 特定 区 域 的 访问 控制 同时 被 用 户 名 /密码 和 客户 端 主机 地 址 进行 限定 的 时 候 起 作用 。 默 认 行 

为 ( A11 ) 采 取 客 户 端 首先 通过 地 址 访问 限制 并 且 输入 有 效 的 用 户 名 和 密码 的 方式 。 使 用 可 选项 
Any 将 使 客户 端 在 通过 主机 限制 或 是 输入 一 个 有 效 的 用 户 名 和 密码 两 种 方式 之 一 得 到 访问 权 
限 。 这 样 ， 就 可 以 通过 密码 来 限制 一 个 区 域 的 访问 ， 但 允许 某 些 特定 地 址 的 客户 端 访问 时 不 

需要 输入 密码 。 


比如 ， 如 果 您 想 让 您 局 域 网 内 的 用 户 访问 您 的 web 网 站 时 不 受 限 制 ， 但 局 域 网 外 的 用 户 需 提供 
密码 才能 进行 访问 ， 您 可 以 采取 类 似 如 下 的 配置 : 


Require valid-user 
Allow from 192.168.1 


Satisfy Any 


从 2.0.51 版 本 开始 ， satisfy 指使 可 以 被 限定 于 由 «Limit» 和 <Limitexcept> 配置 段 指定 的 特 
定 的 方法 。 


参见 
* Allow 


* Require 


ScriptinterpreterSource 184; 


说 明 定位 CGI 脚本 解释 器 
语法 ScriptInterpreterSource Registry&#124; Registry-Strict&#124; Script 
默认 值 ScriptInterpreterSource Script 


作用 域 ^ server config, virtual host, directory, .htaccess 

iu  Filelnfo 

状态 核心 (C) 

模块 core 

兼容 性 ， 仅 用 于 Win32 ; Registry-strict 选项 仅 在 Apache 2.0 及 以 后 的 版 本 中 可 用 


这 个 指令 控制 Apache 如 何 找到 运行 CGI 脚本 的 解释 器 。 黑 认为 script ， 使 用 在 脚本 中 
以 " #! " 行 指定 的 解释 器 。 在 Win32 上 这 一 行 通常 看 上 去 像 : 


#!C:/Perl/bin/perl.exe 


或 者 ， 如 果 peri 的 位 置 已 经 在 PATH 中 指定 ， 则 可 以 简单 的 写成 : 


#!perl 


设置 为 ScriptInterpreterSource Registry 将 使 用 脚本 文件 扩展 名 (比如 .pl ) 作 为 搜索 项 对 
Windows 注 册 表 项 HkEY_cLAssES_RooT 进行 搜索 。 这 个 命令 由 注册 表 子 

键 ShellNExecCGINCommand 或 ShellNOpenNCommand 定义 (如 果 前 者 不 存在 )。 如 果 无 法 找到 该 注 
册 表 项 ，Apache 将 采用 默认 值 : Script o 


RE 

将 ScriptInterpreterSource Registry 和 使 用 了 ScriptAlias 的 目 录 一 起 使 用 时 需要 非常 小 
心 ， 因 为 Apache 会 执行 这 个 目录 下 的 所 有 文件 。 Registry 设置 可 能 会 导致 对 不 可 执行 文件 的 
不 期 望 的 程序 调用 。 例 如 ， 在 大 多 数 Windows 上 默认 打开 .htm 文件 的 程序 是 IE， 所 以 任何 一 
个 对 脚本 目录 中 .htm 文件 的 请 求 将 会 在 服务 器 后 台 打 开 一 个 I[E。 这 是 一 个 让 你 的 服务 器 在 数 
分 钟 内 崩 江 的 好 办 法 。 


Registry-Strict 选项 和 Registry 差不多 ， 但 是 只 ie FH Shell\ExecCGI\Command 子 
$e, Execcer 键 不 是 一 个 普通 的 键 。 它 必须 在 注册 表 中 手动 配置 ， 从 而 可 以 防止 意外 的 程序 
调用 。 


ServerAdmin 1&4 


说 明 服务 器 返回 给 客户 端的 错误 信息 中 包含 的 管理 员 邮件 地 址 
滞洪 ServerAdmin email-address&#124;URL 
作用 域 server config, virtual host 
状态 核心 (C) 
模块 core 


ServerAdmin 设置 了 在 所 有 返回 给 客户 端的 错误 信息 中 包含 的 管理 员 邮 件 地 址 。 如 

果 httpd 不 能 将 提供 的 参数 识别 为 URL， 它 就 会 假定 它 是 一 个 email-address ， 并 在 超 连 接 中 
用 在 mailto: 后 面 。 推 荐 使 用 一 个 Email 地 址 ， 因 为 许多 CGI 脚本 是 这 样 认 为 的 。 如 果 你 确实 

想 使 用 URL， 一 定 要 保证 指向 一 个 你 能 够 控制 的 服务 器 ， 否 则 用 户 将 无 法 确保 一 定 可 以 和 你 

取得 联系 。 


为 这 个 目的 专门 设置 一 个 邮箱 是 值得 的 ， 比 如 : 


ServerAdmin www-admin@foo.example.com 


因为 用 户 一 般 不 会 注意 到 他 们 在 讨论 服务 器 的 问题 ! 


ServerAlias 1E 4 


说 明 匹配 一 个 基于 域名 的 虚拟 主机 的 别名 


语法 ServerAlias hostname [hostname] ... 
作用 域 virtual host 

状态 核心 (C) 

模块 core 


ServerAlias 指 邻 设 定 主机 的 别名 , 用 于 基于 域名 的 虚拟 主机 。 


<VirtualHost *> 

ServerName server .domain.com 

ServerAlias server server2.domain.com server2 
HU udo 


«/NirtualHost» 


参见 


z 


e Apache 虚拟 主机 文档 


ServerName 指令 


说 明 服务 器 用 于 辨识 自己 的 主机 名 和 端口 号 
EG ServerName fully-qualified-domain-name[:port] 
作用 域 server config, virtual host 
状态 核心 (C) 
模块 core 
兼容 性 在 2.0 版 中 ， 这 个 指令 代 奉 了 1.3 版 的 Porc 指 今 的 功能 


ServerName 指令 设置 了 服务 器 用 于 辨识 自己 的 主机 名 和 端口 号 。 这 主要 用 于 创建 重 定向 
URL。 比 如 ， 一 个 放置 web 服 务 器 的 主机 名 为 simple.example.com ， 但 同时 有 一 个 DNS 别 
名 www.example.com o 而 您 希望 web 服 务 器 更 显著 一 点 ， 您 可 以 使 用 如 下 的 指 今 : 


ServerName www.example.com:80 


当 没 有 指定 serverName 时 ， 服 务 器 会 尝试 对 IP 地 址 进行 反 向 查询 来 推断 主机 名 。 如 果 
在 ServerName 中 没有 指定 端口 号 ， 服 务 器 会 使 用 接受 请 求 的 那个 端口 。 为 了 加 强 可 靠 性 和 可 
预测 性 ， 您 应 该 使 用 serverName 显 式 的 指定 一 个 主机 名 和 端口 号 。 


如 果 使 用 的 是 基于 域名 的 虚拟 主机 ， 在 «virtualHost» 段 中 的 serverName 将 是 为 了 匹配 这 个 
虚拟 主机 ， 在 " Host: "请 求 头 中 必须 出 现 的 主机 名 。 


参见 UsecanonicalName 和 UseCanonicalPhysicalPort 指使 以 获得 关于 自 引 用 URL( 比 如 使 

用 mod_dir 模块 ) 是 需要 指定 一 个 特定 端口 ， 还 是 使 用 客户 端 请 求 的 端口 号 的 更 详细 的 信息 。 
参见 

e 关于 DNS 和 Apache 

e Apache 虚拟 主机 文档 

*  UseCanonicalName 

*  UseCanonicalPhysicalPort 


*  NameVirtualHost 


*  ServerAlias 


ServerPath 1&4 


说 明 为 兼容 性 不 好 的 浏览 器 访问 基于 域名 的 虚拟 主机 保留 的 URL 路 径 名 
语法 ServerPath URL-path 
作用 域 virtual host 
状态 核心 (C) 
模块 core 


ServerPath HEDA 主机 设置 了 保守 的 (legacy)URL 路 径 名 ， 用 于 和 基于 域名 的 虚拟 主机 配合 
使 用 。 


参见 


z 


e Apache 虚拟 主机 文档 


ServerRoot 指 今 


说 明 安装 服务 器 的 基础 目录 


语法 ServerRoot directory-path 
默认 值 ServerRoot /usr/local/apache 
作用 域 server config 

状态 核心 (C) 

模块 core 


ServerRoot 指令 设置 了 服务 器 所 在 的 目录 。 一 般 来 说 它 将 包含 conf/ 和 logs/ 子 目录 。 其 它 
配置 文件 的 相对 路 径 即 基于 此 目录 (比如 Include 或 LoadModule )。 


示例 


ServerRoot /home/httpd 


y 


A 


e httpd 的 -d 选项 
e 安全 提示 中 关于 如 何 正确 设置 serverRoot 权限 的 部 分 


ServerSignature 184; 


说 明 配置 服务 器 生成 页 面 的 页 脚 
语法 ServerSignature On&#124; Of f&#124; EMail 
默认 值 ServerSignature Off 
作用 域 server config, virtual host, directory, .htaccess 
Emi All 
状态 核心 (C) 
模块 core 


ServerSignature 指令 允许 您 配置 服务 器 端 生成 文档 的 页 脚 (错误 信息 、 mod proxy 的 ftp 目 录 
列表 、 mod_info 的 输出 )。 您 启用 这 个 页 脚 的 原因 主要 在 于 处 于 一 个 代理 服务 器 链 中 的 时 候 ， 
用 户 基本 无 法 辨识 出 究竟 是 链 中 的 哪个 服务 器 真正 产生 了 返回 的 错误 信息 。 


默认 的 off 设置 没有 错误 行 (这 样 便 与 Apache1.2 及 更 旧版 本 兼容 )。 采 用 on 会 简单 的 增加 
一 行 关于 服务 器 版 本 和 正在 伺服 的 虚拟 主机 的 serverName ， 而 EMail 设置 会 如 文档 中 说 明 
的 那样 额外 创建 一 个 指向 serveradmin 的 "mailto:" 部 分 。 


对 于 2.0.44 以 后 的 版 本 ， 显 示 的 详细 服务 器 版 本 号 将 由 servertokens 指令 控制 。 


*  ServerTokens 


ServerTokens 指令 
说 
明 


语 


法 
4. 


ME" server: "应 答 头 


ServerTokens Major&#124;Minor&#124;Min[imal]&#124; Prod[uctOnly ]&#124 ; 0S&#124; Full 


i ServerTokens Full 


用 | server config 


核心 (C) 


模 


H core 


这 个 指令 控制 了 服务 器 回应 给 客户 端的 " server: "应 答 头 是 否 包 含 关 于 服务 器 操作 系统 类 型 和 
编译 进 的 模块 描述 信息 。 

ServerTokens Prod[uctOnly] 

服务 器 会 发 送 (比如 ) : Server: Apache 

ServerTokens Major 


服务 器 会 发 送 (比如 ) : Server: Apache/2 


ServerTokens Minor 


服务 器 会 发 送 (比如 ) : Server: Apache/2.0 


ServerTokens Min[imal] 


服务 器 会 发 送 (比如 ) : Server: Apache/2.0.41 


ServerTokens OS 
服务 器 会 发 送 (比如 ) : Server: Apache/2.0.41 (Unix) 


ServerTokens Full (或 未 指定 ) 


服务 器 会 发 送 (比如 ) : Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2 
此 设置 将 作用 于 整个 服务 器 ， 而 且 不 能 用 在 虚拟 主机 的 配置 段 中 。 


2.0.44 版 本 以 后 ， 这 个 指 合 还 控制 着 serversignature 指 邻 的 显示 内 容 。 


* ServerSignature 


SetHandler 1&4 


说 明 强制 所 有 匹配 的 文件 被 一 个 指定 的 处 理 器 处 理 
语法 SetHandler handler-name&#124;None 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 核心 (C) 
模块 core 
兼容 性 在 Apache2.0 中 移入 核心 


当 这 个 指 邻 放 入 .htaccess 或 <Directory> 或 «Location» 配置 段 中 时 ， 这 个 指令 将 强制 所 有 
匹配 的 文件 通过 handler-name 指 定 的 处 理 器 处 理 。 上 比如 : 如 果 想 不 管 某 个 目录 中 的 文件 具有 
什么 扩展 名 ， 都 将 它 作为 图 像 映射 规则 文件 来 解析 ， 您 可 以 将 下 例 放 和 那个 目录 

的 .htaccess 中 


SetHandler imap-file 


再 来 一 个 例子 : 如 果 您 想 当 http://servername/status 被 请 求 时 ， 服 务 器 显示 一 个 状态 报告 ， 
您 可 以 将 下 面 的 语句 放 和 人 httpd.conf 里 面 : 


«Location /status» 


SetHandler server-status 
«/Location» 


你 可 以 通过 使 用 None 来 改写 一 个 早先 定义 的 setHandler 1843. 


* AddHandler 


SetinputFilter 1E 45 


说 明 设置 处 理 客户 端 请 求 和 POST 输 入 时 使 用 的 过 滤器 
语法 SetInputFilter filter[;filter...] 
作用 域 server config, virtual host, directory, .htaccess 
Emi Filelnfo 
状态 核心 (C) 
模块 core 


SetInputFilter 指 命 为 服务 器 接受 并 人 处理 客户 端 请 求 和 POST 输 入 设置 了 过 滤器 。 这 是 在 其 它 
地 方 (包括 AddInputFilter 指 合 ) 设 置 的 过 滤器 以 外 附加 的 过 滤器 。 


如 果 设 置 了 多 于 一 个 过 滤器 ， 它 们 必须 按照 处 理 内 容 的 顺序 用 分 号 (;) 分 隔 。 


y 


见 
。 过 滤器 文档 


SetOutputFilter 指 今 


说 明 设置 用 于 处 理 服务 器 输出 应 答 的 过 滤器 
语法 SetoutputFilter filter[;filter...] 
作用 域 server config, virtual host, directory, .htaccess 
Emi Filelnfo 
状态 核心 (C) 
模块 core 


SetoutputFilter 指令 设置 了 用 于 在 服务 器 应 答 发 送 到 客户 端 之 前 使 用 的 过 滤器 。 这 是 在 其 它 
地 方 (包括 AddoutputFilter 指 邻 ) 设 置 的 过 滤器 以 外 附加 的 过 滤器 。 


例如 : 下 述 配置 将 会 把 /www/data/ 目录 下 的 所 有 文件 作为 SSI 文 件 来 处 理 。 


<Directory /ww/data/> 


SetOutputFilter INCLUDES 
«/Directory» 


如 果 设 置 了 多 于 一 个 过 滤器 ， 它 们 必须 按照 处 理 内 容 的 顺序 用 分 号 (;) 分 隔 。 


y 


p) 
e 过 滤器 文档 


TimeOut #4 


说 明 服务 器 在 断定 请 求 失败 前 等 待 的 秒 数 
语法 TimeOut seconds 
默认 值 TimeOut 300 
作用 域 server config 
状态 核心 (C) 
模块 core 


Timeout 指 合用 于 设置 Apache 等 待 以 下 三 种 事件 的 时 间 长 度 : 


1. 接受 一 个 GET 请 求 耗费 的 总 时 间 。 
2. POST 或 PUT 请 求 时 ， 接 受 两 个 TCP 包 之 间 的 时 间 。 
3， 应 答 时 TCP 包 传输 中 两 个 ACK 包 之 间 的 时 间 。 


我 们 计划 在 发 展 里 程 中 ， 逐 步 把 它们 分 别 变 得 更 易 配 置 。 计 时 器 在 1.2 版 本 之 前 的 默认 值 为 
1200， 而 现在 已 经 设置 为 300 了 ， 但 对 于 绝 大 多 数 情况 来 说 仍 是 足够 的 。 没 有 把 它 默认 值 设 的 
更 小 的 原因 在 于 代码 里 还 有 点 问题 : 有 时 发 送 一 个 包 之 后 ， 计 时 器 没有 复位 。 


TraceEnable 1&8 € 


说 明 确定 如 何 义理 trace 请 求 
入 法 TraceEnable [on&#124;off&#124;extended] 
默认 值 TraceEnable on 
VE FA server config 
状态 核心 (C) 
模块 core 
兼容 性 仅 在 Apache 1.3.34, 2.0.55 及 以 后 的 版 本 中 可 用 


这 个 指令 同时 决定 了 核心 和 mod proxy 模块 如 何 处 理 trace 请 求 。 默 认 ( TraceEnable on ) 人 允许 
处 理 RFC2616 定 义 的 禁止 附带 任何 请 求 体 的 TRACE 请 求 。 TraceEnable off 则 使 核心 
和 mod proxy 模块 向 客户 端 返回 一 个 " 465 "(禁止 的 方法 ) 错 误 。 


最 后 ， 为 了 测试 和 诊断 ， 可 以 设置 " TraceEnable extended "以 允许 附带 请 求 体 。 核 心 (原始 服务 
器 ) 将 会 将 请 求 体 大 小 限制 为 64k 以 下 (如 果 使 用 了 Transfer-Encoding: chunked 头 ， 可 以 再 为 
HTTP 头 增加 8k)。 核 心 会 同时 限制 应 答 头 和 应 答 体 ; 代理 服务 器 则 没有 对 请 求 体 加 以 64k 的 限 
制 。 


UseCanonicalName 指令 


说 明 配置 服务 器 如 何 确 定 它 自己 的 域名 和 端口 
语法 UseCanonicalName On&#124; Of F&#124; DNS 
默认 值 UseCanonicalName Off 
作用 域 server config, virtual host, directory 
RA 核心 (C) 
模块 core 


在 很 多 情况 下 ，Apache 必 须 构造 一 个 _ 自 引用 _URL( 即 一 个 指 回 相同 服务 器 的 URL)。 使 用 
UseCanonicalName On AR ServerName 这 个 域名 用 于 所 有 自 引 用 URL、 SERVER_NAME 、 CGI 中 
的 SERVER_PORT 。 


设置 为 UseCanonicalName off 时 ， 如 果 客 户 端 提供 了 主机 名 和 端口 (否则 将 如 上 所 述 使 用 标准 
域名 )，Apache 将 会 使 用 这 些 信息 来 构建 自 引 用 URL。 这 些 值 与 用 于 实现 基于 域名 的 虚拟 主机 
的 值 相同 ， 并 且 对 于 同样 的 客户 端 可 用 。CGI 变 量 SERVER_NAME 和 SERVER_PORT 也 会 由 客户 端 
提供 的 值 来 构建 。 


用 这 样 的 方式 成 功 解决 问题 的 例子 如 下 : 在 一 个 局 域 网 内 ， 您 想 让 连接 主机 的 用 户 使 用 诸 

如 WWW 这 样 的 短 域名 进行 访问 。 您 会 注意 到 ， 如 果 用 PRAT 类 似 http: //www/splat 这 样 的 
短 域名 和 目录 的 URL， 并 且 没 有 最 后 的 斜 线 ，Apache 会 将 他 们 重 定向 

到 nttp://www.domain.com/splat/ 。 如 果 您 在 这 个 目录 上 启用 了 身份 验证 ， 这 会 导致 用 户 必 须 
进行 两 次 验证 : 一 次 针对 www 而 另外 一 次 针对 www.domain.com (参见 关于 此 主题 的 FAQ 获 得 更 
多 信息 )。 但 如 果 usecanonicalName A off , Apache 就 会 重 定向 到 http://www/splat/ o 


第 三 个 可 选项 是 UsecanonicalName DNS ， 用 于 为 大 量 基 于 IP 的 虚拟 主机 支持 那些 古董 级 的 不 
提供 " Host: " 头 的 浏览 器 使 用 。 使 用 这 个 选项 时 ，Apache 将 对 客户 端 连 人 的 服务 器 的 IP 地 址 
进行 反 向 DNS 查询 ， 以 构建 自 引用 URL。 


fk H 
F3 


Di 


如 果 CGI 对 sERVER_NAME 的 值 作出 了 假定 ， 它 们 会 被 此 选项 破坏 。 客 户 端 对 于 给 出 它们 想 要 的 
主机 名 这 样 的 行动 是 完全 不 受 限 制 的 。 但 如 果 CGI 仅 使 用 sERVER_NAME 来 构建 自 引 用 的 URL， 
它们 会 工作 的 很 好 。 


y 


见 


*  UseCanonicalPhysicalPort 
@ ServerName 


© Listen 


UseCanonicalPhysicalPort 1&4: 


说 明 配置 服务 器 如 何 确定 自己 的 名 字 和 端口 
语法 UseCanonicalPhysicalPort On&#124; Off 
默认 值 UseCanonicalPhysicalPort Off 
VF FA server config, virtual host, directory 
RA 核心 (C) 
模块 core 
兼容 性 仅 在 Apache 2.2.0 及 以 后 的 版 本 中 可 用 


在 很 多 情况 下 ，Apache 必 须 构 造 一 个 _ 自 引用 _URL( 即 一 个 指 回 相 同 服务 器 的 URL)。 在 
UseCanonicalPhysicalPort On 的 时 候 ， Apache 将 有 可 能 在 构造 服务 器 的 规范 端口 时 为 了 符 
fi usecanonicalName 指 今 而 使 用 实际 的 物理 端口 号 (physical port), TE 
UseCanonicalPhysicalPort Off 的 时 候 ， Apache 将 不 会 使 用 实际 的 物理 端口 号 ， 而 是 依赖 所 
有 已 经 配置 的 信息 来 构造 一 个 合法 的 端口 号 。 


MI 
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决定 使 用 物理 端口 号 的 次 序 如 下 : 


UseCanonicalName On 


*  Servername 指定 的 端口 号 
。 物理 端口 号 

。 默认 端口 号 
UseCanonicalName Off | DNS 


e "Host: "请 求 头 提供 的 端口 号 
。 物理 端口 号 

@ Servername 指定 的 端口 号 
默认 端口 号 


在 UseCanonicalPhysicalPort Off 的 情况 下 ， 物理 端口 号 将 会 从 上 述 顺 序 中 剔除 。 


y 


见 


*  UseCanonicalName 
* ServerName 


© Listen 


<VirtualHost> 1&4 


说 明 包含 仅 作用 于 指定 主机 名 或 中 地 址 的 指 今 


语法 «VirtualHost addr[:port] [addr[:port]] ...&gt; ... &lt;/VirtualHost» 


作用 域 ^^ server config 
状态 核心 (C) 


模块 core 


<VirtualHost> 和 </VirtualHost> 用 于 封装 一 组 仅 作用 于 特定 虚拟 主机 的 指令 。 任 何在 虚拟 主 
机 配置 中 可 以 使 用 的 指 合 也 同样 可 以 在 这 里 使 用 。 当 服务 器 接受 了 一 个 特定 虚拟 主机 的 文档 
请 求 时 ， 它 会 使 用 封装 在 <virtualHost> 配置 段 中 的 指令 。Addr 可 以 是 : 


e 虚拟 主机 的 IP 地 址 

e 虚拟 主机 IP 地 址 对 应 的 完整 域名 

e 字符 " * "， 仅 与 " NamevirtualHost * "配合 使 用 以 匹配 所 有 的 IP 地 址 

e SAH" default _"， 生 基于 IP 的 虚拟 主机 联 用 以 捕获 所 有 没有 匹配 的 IP 地 址 


示例 


<VirtualHost 10.1.2.3> 
ServerAdmin webmaster@host.foo.com 
DocumentRoot /www/docs/host.foo.com 
ServerName host.foo.com 
ErrorLog logs/host.foo.com-error log 


TransferLog logs/host.foo.com-access log 
</VirtualHost> 


IPv6 的 地 址 必须 放 入 方 括号 中 指定 ， 否 则 作为 可 选项 的 端口 号 将 无 法 确定 。 一 个 IPv6 的 示例 
如 下 : 


<VirtualHost [2001:db8::a00:20ff:fea7:ccea]» 
ServerAdmin webmaster@host.example.com 
DocumentRoot /www/docs/host.example.com 
ServerName host.example.com 
ErrorLog logs/host.example.com-error log 


TransferLog logs/host.example.com-access log 
«/NirtualHost» 


每 个 虚拟 主机 必须 对 应 不 同 的 IP 地 址 、 端 口号 或 是 不 同 的 主机 名 。 在 第 一 种 情况 下 ， 服 务 器 
所 在 的 物理 机 器 必须 配置 为 可 以 为 多 个 IP 地 址 接受 IP 包 。( 在 机 器 没有 多 个 网 络 硬 件 界面 的 情 
况 下 ， 如 果 您 的 操作 系统 支持 ， 您 可 以 使 用 ifconfig alias 命令 来 达到 这 个 目的 )。 


NE 
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<VirtualHost> 的 使 用 并 不 影响 Apache 的 监听 地 址 。 你 需要 使 用 Listen 来 确保 Apache 正 在 
监听 正确 的 地 址 。 


当 使 用 基于 IP 的 虚拟 主机 时 ， 特 殊 的 名 称 "_default_" 可 以 在 没有 匹配 到 其 它 列 出 的 虚拟 主机 
的 情况 下 作为 匹配 任何 IP 地 址 的 默认 虚拟 主机 。 在 没有 进行 "' _defauit_ "虚拟 主机 的 设 定时 ， 
在 没有 IP 与 请 求 匹 配 的 情况 下 ， 将 使 用 " 主 服务 器 "(在 所 有 虚拟 主机 配置 段 之 外 ) 的 配置 。 但 请 
注意 : 任何 匹配 NameVirtualHost 指使 的 IP 地 址 既 不 会 使 用 " 主 服务 器 "配置 ， 也 不 会 使 

FH" default "虚拟 主机 的 配置 。 参 见 基 于 域名 的 虚拟 主机 文档 。 


您 可 以 指定 一 个 " :port "来 改变 匹配 的 端口 。 如 果 没 有 指定 ， 它 将 治 用 主 服务 器 中 离 它 最 近 的 
那个 Listen 指定 的 值 。 您 也 可 以 指定 " :* "来 匹配 那个 地 址 上 的 所 有 端口 ( 当 您 使 
FA" default_ "时 ， 这 是 推荐 采用 的 方法 )。 


安全 
参见 安全 提示 文档 以 获得 为 什么 当 您 存储 日 志文 件 的 目录 对 于 启动 服务 器 以 外 的 用 户 来 说 是 


见 
可 写 的 会 危及 服务 器 安全 的 详细 资料 。 


e Apache 虚拟 主机 文档 

e 关于 DNS 和 Apache 

e 设置 Apache 使 用 的 地 址 和 端口 

<Directory>、<Location>、<Files> 配 置 段 是 如 何 工作 的 中 包含 了 当 接 受 一 个 请 求 时 ， 这 
些 不 同 的 配置 段 是 如 何 组 合 工 作 的 相关 解释 。 


Apache MPM 公共 指令 


说 明 收集 了 被 多 个 多 路 处 理 模块 (MPM) 实 现 的 公共 指 命 
状态 MPM 


AcceptMutex 184: 


说 明 Apache 用 于 串 行 化 多 个 子 进程 在 (多 个 ) 网 络 套 接 字 (socket) 上 接受 请 求 的 方法 
语法 AcceptMutex Default&#124;method 


默认 值 AcceptMutex Default 


作用 域 | server config 

状态 MPM 

模块 prefork , worker 
AcceptMutex 指令 用 于 设置 串 行 化 多 个 子 进程 在 (多 个 ) 网 络 套 接 字 上 接受 请 求 的 方法 。 在 2.0 版 


本 以 前 ， 只 能 在 编译 时 设 定 此 方法 。 应 当 在 这 里 使 用 的 最 佳 方法 取决 于 不 同 的 硬件 体系 结构 
和 操作 系统 。 欲 知 详情 ， 请 参见 性 能 调节 文档 。 

如 果 设 置 为 default ， 那 么 将 会 使 用 编译 时 自动 选择 的 默认 值 。 其 他 可 用 的 方法 在 下 面 列 
出 。 注 意 ， 并 不 是 所 有 的 方法 在 所 有 的 平台 上 都 是 可 用 的 ， 如 果 指 定 了 一 个 不 可 用 的 方法 ， 
将 会 在 错误 日 志 中 记录 下 这 个 不 可 用 的 方法 。 

flock 

这 种 方法 调用 系统 函数 flock(2) 来 锁定 一 个 加 锁 文件 (其 位 置 取决 于 LockFile TR 43). 


fcntl 


这 种 方法 调用 系统 函数 fcnti(2) 来 锁定 一 个 加 锁 文 件 (其 位 置 取决 于 Lockriie TR 43). 


posixsem 


(2.0 及 更 新 版 本 ) 这 种 方法 使 用 了 POSIX 信 号 灯 。 如 果 一 个 运行 中 的 线程 占有 了 互 斥 segfault , 
则 信号 灯 的 所 有 者 将 不 会 被 恢复 ， 从 而 导致 服务 器 的 挂 起 和 失去 响应 。 


pthread 


(1.3 及 更 新 版 本 ) 这 种 方法 使 用 了 POSIX 互 斥 ， 按 理应 该 可 以 用 于 所 有 完整 实现 了 POSIX 线 程 
规范 的 体系 中 ， 但 是 似乎 只 能 用 在 Solaris2.5 及 更 新 版 本 中 ， 甚 至 只 能 在 某 种 配置 下 才 正 常 运 
作 。 如 果 遇 到 这 种 情况 ， 则 应 该 提防 服务 器 的 挂 起 和 失去 响应 。 只 提供 静态 内 容 的 服务 器 可 


能 不 受 影响 。 


sysvsem 


(1.3 及 更 新 版 本 ) 这 种 方案 使 用 SysV 风 格 的 信号 灯 以 实现 互 斥 。 不 幸 的 是 ，SysV 风 格 的 信号 灯 
有 一 些 副作用 ， 其 一 是 ，Apache 有 可 能 不 能 在 结束 以 前 释放 这 种 信号 灯 ( 见 ipcs() 的 man 
page)， 另 外 ， 这 种 信号 灯 API 给 与 网 络 服务 器 有 相同 uid 的 CGI 提供 了 拒绝 服务 攻击 的 机 会 (所 
有 CGI， 除 非 用 了 类 似 suexec 或 cgiwrapper )。 鉴 于 此 ， 在 多 数 体系 中 都 不 用 这 种 方法 ， 除 
了 IRIX( 因 为 加 锁 文 件 的 方法 在 IRIX 中 代价 太 高 )。 


如 果 你 想 知道 编译 时 自动 选择 的 黑 认 值 ， 你 可 以 将 LogLevel 设 为 debug ， 这 样 默认 
的 AcceptMutex 就 会 记录 到 ErrorLog 中 。 


wig 
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在 大 多 数 系统 上 ， 使 用 pthread 时 ， 如 果 一 个 子 进 程 在 持 有 acceptent 互 斥 信号 时 异常 中 
止 ， 服 务 器 将 会 挂 起 和 失去 响应 ， 此 时 必须 手动 重启 服务 器 才能 解决 问题 。 但 Solaris 是 一 个 
例外 ， 因 为 它 提 供 了 一 个 机 制 (Apache 利 用 了 该 机 制 )， 多 许 在 一 个 持 有 互 斥 信 号 的 子 进 程 异 
常 中 止 后 恢复 互 斥 信号 。 


如 果 你 的 操作 系统 实现 了 pthread mutexattr setrobust np() KHA, ZEA CARER RUE 
FA pthread 选项 。 


CoreDumpDirectory 1&4 


说 明 Apache 使 用 的 内 核 转 储 目录 
语法 CoreDumpDirectory directory 
默认 值 参见 说 明 
作用 域 server config 
状态 MPM 
模块 beos , mpm winnt , prefork , worker 


这 个 指令 用 于 控制 Apache 使 用 的 内 核 转 储 目 录 。 默 认 位 于 serverRoot 下 ， 因 为 这 个 目录 通常 
对 于 运行 服务 器 的 用 户 是 不 可 写 的 ， 内 核 转 储 一 般 也 就 不 会 写 入 内 容 。 如 果 你 在 调试 中 需要 
内 核 转 储 ， 你 可 以 用 这 个 指 命 来 指定 另外 一 个 目录 。 


Linux 上 的 内 核 转 储 


如 果 Apache 以 root 身 份 启动 并 切换 至 其 他 用 户 ， 即 使 指定 的 转 储 目录 对 进程 是 可 写 的 ，Linux 
内 核 也 将 _ 茶 止 _ Apache 进 行内 核 转 储 。 但 是 Apache2.0.46 及 以 后 的 版 本 在 你 明确 指 
定 CoreDumpDirectory 的 情况 下 ， 能 够 在 Linux2.4 以 上 的 版 本 中 强制 实现 内 核 转 储 。 


EnableExceptionHook 184: 


说 明 在 子 进 程 骨 省 以 后 启用 一 个 钩子 来 运行 异常 父 理 程序 
语法 EnableExceptionHook On&#124; Off 
默认 值 EnableExceptionHook Off 
作用 域 server config 
状态 MPM 
模块 prefork ，worker 
兼容 性 仅 在 Apache 2.0.49 及 以 后 的 版 本 中 可 用 


因为 安全 原因 ， 这 个 指令 仅 在 编译 时 使 用 了 --enable-exception-hook 选项 的 情况 下 才 可 用 。 
它 会 在 一 个 子 进程 骨 溃 以 后 启用 一 个 钩子 (hook) 来 运行 一 个 外 部 模块 以 做 些 后 继 义理 。 


目前 有 两 个 模块 ( mod_whatkilledus 和 mod_backtrace ) 可 以 被 钩子 使 用 。 请 参见 Jeff Trawick 的 
EnableExceptionHook site 以 获得 更 多 信息 。 


GracefulShutdownTimeout 1&4 


说 明 指定 优雅 停止 服务 器 的 超时 秒 数 
语法 GracefulShutDownTimeout seconds 
默认 值 GracefulshutDownTimeout 0 
作用 域 server config 
状态 MPM 
模块 prefork ，worker ，event 
兼容 性 仅 在 Apache 2.2 及 以 后 的 版 本 中 可 用 


GracefulshutdownTimeout 设置 服务 器 在 收 到 "优雅 停止 "信和 号 后 最 多 人 允许 使 用 多 少 秒 来 处 理 尚 
未 完成 的 连接 ， 超 时 后 服务 器 将 强行 退出 。 


设 为 "0" 表 示 永 不 超时 ， 也 就 是 服务 器 必须 在 义理 完 所 有 尚未 完成 的 请 求 之 后 才能 退出 。 


Group 1&4 


3X BB 对 请 求 提 供 服务 的 Apache 子 进程 运行 时 的 用 户 组 


语法 Group unix-group 


默认 值 Group #-1 

VF FA server config 

Ts MPM 

模块 beos , mpmt os2 , prefork , worker 
兼容 性 Apache2.0 以 后 只 对 全 局 配置 有 效 


Group 指令 指定 了 用 于 对 客户 端 请 求 提 供 服 务 的 Apache 子 进程 运行 时 的 用 户 组 。 为 了 使 用 这 
个 指令 ，Apache 必 须 以 root 初始 化 和 启动， 否则 在 切换 用 户 组 时 会 失败 ， 并 继续 以 初始 化 启 
动 时 的 用 户 组 运行 。Unix-group 可 以 是 下 列 之 一 : 


用 户 组 的 名 称 
通过 名 称 引用 组 。 
"4 "号 后 跟 一 个 组 编号 (GID) 


通过 编号 引用 组 。 


示例 


Group www-group 


建议 你 专门 为 Apache 服 务 器 新 建 一 个 用 户 组 。 一 些 管理 员 使 用 nobody 用 户 ， 但 是 这 并 非 总 
是 可 用 或 是 合适 的 。 

安全 

不 要 将 Group (或 User ) 设 置 成 root , 除非 你 明确 知道 自己 在 做 什 , 并 且 明 白 其 风险 所 
在 。 


特别 提示 : 在 <virtualHost> 段 中 使 用 该 指 命 已 经 不 再 被 支持 了 。 你 可 以 使 
用 suexec 的 SuexecUserGroup 指令 来 达到 这 个 目的 。 


a 
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虽然 Group 指令 也 存在 于 beos 和 mpmt os2 MPM 中 ， 但 是 事实 上 没 用 任何 用 人 处， 只 不 过 是 个 
mE To 


Listen 184 


说 明 服务 器 监听 的 IP 地 址 和 端口 


语法 Listen [IP-address:]portnumber [protocol] 


作用 域 ^ server config 
KA MPM 
模块 beos , mpm netware , mpm winnt , mpmt os2 , prefork , worker , event 


兼容 性 Apache2.0 以 后 必须 设置 该 指令 ，protocol 参 数 仅 在 2.1.5 及 以 后 版 本 中 可 用 


Listen 指令 指示 Apache 只 在 指定 的 IP 地 址 和 端口 上 监听 ; 默认 情况 下 Apache 会 在 所 有 IP 地 
址 上 监听 。 Listen 是 一 个 必须 设置 的 指令 。 如 果 在 配置 文件 中 找 不 到 这 个 指令 ， 服 务 器 将 无 
法 启动 。 这 和 先前 的 版 本 不 一 样 。 


Listen 指 今 指 定 服务 器 在 那个 端口 或 地 址 和 端口 的 组 合 上 监听 接 和 人 请求。 如 果 只 指定 一 个 端 
口 ， 服 务 器 将 在 所 有 地 址 上 监听 该 端口 。 如 果 指 定 了 地 址 和 端口 的 组 合 ， 服 务 器 将 在 指定 地 
址 的 指定 端口 上 监听 。 


使 用 多 个 Listen 指令 可 以 指定 多 个 不 同 的 监听 端口 和 /或 地 址 端口 组 合 。 服 务 器 将 会 对 列 出 的 
所 有 端口 和 地 址 端口 组 合 上 的 请 求 作出 应 答 。 


例如 ， 想 要 服务 器 接受 80 和 8000 端 口上 的 请 求 ， 可 以 这 样 设置 : 


Listen 80 


Listen 8000 


为 了 让 服务 器 在 两 个 确定 的 地 址 端口 组 合 上 接受 请 求 ， 可 以 这 样 设置 : 


Listen 192.170.2.1:80 


Listen 192.170.2.5:8000 


IPv6 地 址 必须 像 下 面 的 例子 一 样 ， 用 方 括号 括 起 来 : 


Listen [2001:db8::a00:20ff:fea7:ccea]:80 


可 选 的 protocol 参 数 在 大 多 数 情况 下 并 不 需要 。 若 未 指定 该 参数 ， 则 将 为 443 端 口 使 用 默认 
的 https 协议 ， 为 其 它 端口 使 用 http 协议 。 在 这 里 指定 协议 是 为 了 确定 使 用 哪个 模块 来 义理 
请 求 ， 以 及 根据 AcceptFilter 指令 根据 不 同 的 协议 有 针对 性 的 进行 优化 。 


仅 在 使 用 非 标准 端口 时 才 需 要 指定 protocol 参 数 。 比 如 在 8443 端 口 运行 https 协议 : 


Listen 192.170.2.1:8443 https 


错误 条 件 

多 个 Listen 指令 指定 了 同一 个 地 址 和 端口 的 组 合 后 ， 会 导致 " Address already in use " 错 
tRo 

参见 


z^ 


e DNS 问题 
e 地 址 和 端口 绑 定 


ListenBackLog 184 


说 明 半 链 接 (pending connectionm) 队 列 的 最 大 长 度 
语法 ListenBacklog backlog 
默认 值 ListenBacklog 511 


作用 域 server config 
状态 MPM 
模块 beos , mpm netware , mpm winnt ， mpmt os2 , prefork , worker 
半 链 接 (pending connection) 队 列 的 最 大 长 度 。 一 般 不 需要 调整 此 项 参数 ， 然 而 在 一 些 系 统 


上 ， 必 须 增 大 此 值 以 抵御 TCP SYN 洪水 攻击 。 参 见 操 作 系 统 的 listen(2) 系统 调用 的 后 备 参 
数 。 


操作 系统 常常 将 此 值 限制 为 一 个 较 小 的 数字 ， 具 体 根 据 操作 系统 的 不 同 而 不 同 。 需 要 注意 的 
是 ， 许 多 操作 系统 并 不 是 正好 使 用 后 和 数值， 而 是 取决 于 设置 的 值 (通常 大 于 后 备 值 )。 


LockFile 1E & 


说 明 接受 串 行 锁 文 件 的 位 置 
语法 LockFile filename 
默认 值 LockFile logs/accept.lock 
作用 域 server config 
状态 MPM 
模块 prefork , worker 


LockFile 指令 设置 当 AcceptMutex 指 今 的 值 是 fcntl 或 flock 的 时 候 ，Apache 使 用 的 锁 文 
件 的 位 置 。 该 指令 通常 保持 它 的 默认 值 。 改 变 默 认 值 的 主要 原因 是 logs 目录 位 于 一 个 NFS 文 
件 系统 上 ， 因 为 锁 文 件 必 须 位 于 本 地 磁盘 上 。 主 服务 器 进程 的 PID 会 自动 添加 到 文件 名 后 面 。 


RE 
最 好 不 要 将 此 文件 放 在 任何 人 都 可 以 具有 写 权 限 的 目录 (比如 /var/tmp ) 中 ， 因 为 别人 可 以 通 


过 建立 一 个 与 服务 器 企图 建立 的 锁 文 件 同 名 的 文件 ， 来 阻止 服务 器 启动 ， 从 而 造成 一 个 拒绝 
服务 攻击 。 


@  AcceptMutex 


MaxClients 1&4 


说 明 允许 同时 伺服 的 最 大 接 人 请 求 数量 
语法 MaxClients number 
默认 值 参见 下 面 的 说 明 
作用 域 server config 
状态 MPM 
模块 beos ，prefork ，worker 


Maxclients 指令 设置 了 允许 同时 伺服 的 最 大 接 人 请 求 数量 。 任 何 超 过 Maxclients 限制 的 请 求 
都 将 进入 等 候 队 列 ， 直到 达到 ListenBacklog 指使 限制 的 最 大 值 为 止 。 一 旦 一 个 链接 被 释放 ， 

队列 中 的 请 求 将 得 到 服务 。 

对 于 非 线 程 型 的 MPM( 也 就 是 prefork )， Maxclients 表示 可 以 用 于 伺服 客户 端 请 求 的 最 大 子 
进程 数量 ， 默 认 值 是 256 。 要 增 大 这 个 值 ， 你 必须 同时 增 大 serverLimit o 


对 于 线程 型 或 者 混合 型 的 MPM( 也 就 是 beos 或 worker ), MaxClients 表示 可 以 用 于 伺服 客户 
端 请 求 的 最 大 线程 数量 。 线 程 型 的 beos 的 默认 值 是 50 。 对 于 混合 型 的 MPM 默 认 值 

是 16 ( ServerLimit ) 乘 以 25 ( ThreadsPerchild ) 的 结果 。 因 此 要 将 maxclients 增加 到 超过 16 
个 进程 才能 提供 的 时 候 ， 你 必须 同时 增加 serverLimit 的 值 。 


MaxMemFree 指令 


说 明 主 内 存 分 配 程序 在 未 调用 freo 的 情况 下 人 允许 持 有 的 最 大 自由 内 存 数 量 (KB) 
语法 MaxMemFree KBytes 

默认 值 MaxMemFree 0 

作用 域 ^ server config 

状态 MPM 

模块 beos ，mpm_netware ，prefork ，worker ，mpm_winnt 


MaxMemFree 指令 用 于 设置 主 内 存 分 配 程序 在 未 调用 free() 的 情况 下 人 允许 持 有 的 最 大 自由 内 
存 数 量 (KB)。 若 未 设置 或 设置 为 "0"， 将 表示 无 限制 。 


MaxRequestsPerChild 184 


说 明 每 个 子 进 程 在 其 生存 期 内 允许 伺服 的 最 大 请 求 数量 
语法 MaxRequestsPerChild number 
默认 值 MaxRequestsPerChild 10000 
作用 域 server config 
状态 MPM 
模块 mpm netware , mpm winnt , mpmt os2 , prefork , worker 


旨 邻 设置 每 个 子 进 程 在 其 生存 期 内 允许 伺服 的 最 大 请 求 数量 。 到 


MaxRequestsPerChild 8 Da 
ik MaxRequestsPerChild 的 限制 后 ， 子 进程 特 会 结束 。 如 果 MaxRequestsPerChild 为 "9 ", 子 进 


FE KI TS ARR. 


不 同 的 默认 值 
在 mpm netware 和 mpm winnt 上 的 默认 值 是 " 9 "o 
将 MaxRequestsPerchild 设置 成 非 需 值 有 两 个 好 处 : 
。 可 以 防止 (偶然 的 ) 内 存 泄漏 无 限 进行 ， 从 而 耗 尽 内 存 。 
。 给 进程 一 个 有 限 寿 命 ， 从 而 有 助 于 当 服 务 器 负载 减轻 的 时 候 减少 活动 进程 的 数量 。 


注意 
对 于 KeepAlive 链接 ， 只 有 第 一 个 请 求 会 被 计数 。 事 实 上 ， 它 改变 了 每 个 子 进程 限制 最 大 链 


接 数量 的 行为 。 


MaxSpareThreads 指 兮 


说 明 最 大 空闲 线程 数 


语法 MaxSpareThreads number 

默认 值 参见 下 面 的 说 明 

作用 域 server config 

状态 MPM 

模块 beos ，mpm_netware , mpmt os2 , worker 


RAL CERE TNIBIBSMPM x ix MESH RBS ABS: 


worker 的 默认 值 是 " 250 "。 这 个 MPM 将 基于 整个 服务 器 监视 空闲 线程 数 。 如 果 服 务 器 中 总 的 
空闲 线程 数 太 多 ， 子 进程 特 杀 死 多 余 的 空闲 线程 。 


mpm_netware 的 默认 值 是 " 16g "。 既 然 这 个 MPM 只 运行 单独 一 个 子 进 程 ， 此 MPM 当 然 亦 基于 
整个 服务 器 监视 空闲 线程 数 。 


beos 和 mpmt_os2 的 工作 方式 与 mpm netware 差不多 ， beos 的 默认 值 是 " 56 " ; mpmt os2 的 
默认 值 是 " 16 "。 


限制 


MaxSpareThreads 的 取 值 范围 是 有 限制 的 。Apache 将 按照 如 下 限制 自动 修正 你 设置 的 值 : 


* mpm netware 要 求 其 小 于 等 于 MinSpareThreads 
* worker 要 求 其 大 于 等 于 MinSpareThreads 加 上 ThreadsPerchild 的 和 


e MinSpareThreads 


@ StartServers 


MinSpareThreads 指令 


说 明 最 小 空闲 线程 数 


语法 MinSpareThreads number 

默认 值 参见 下 面 的 说 明 

作用 域 server config 

状态 MPM 

模块 beos , mpm netware , mpmt os2 , worker 


设置 最 小 空闲 线程 数 ， 用 于 处 理 可 能 到 来 的 突 发 请 求 。 不 同 的 MPM 对 这 个 指 合 的 处 理 是 不 一 
样 的 : 


worker 的 默认 值 是 " 75 "。 这 个 MPM 将 基于 整个 服务 器 监视 空闲 线程 数 。 如 果 服 务 器 中 总 的 
空闲 线程 数 太 少 ， 子 进程 籽 产 生 新 的 空闲 线程 。 


mpm netware 的 默认 值 是 " 10 "。 既 然 这 个 MPM 只 运行 单独 一 个 子 进程 ， 此 MPM 当 然 亦 基于 
整个 服务 器 监视 空闲 线程 数 。 


beos 和 mpmt_os2 的 工作 方式 与 mpm netware 差不多 ， beos 的 默认 值 是 " 1" ; mpmt os2 的 
默认 值 是 " 5 "。 


*  MaxSpareThreads 


* StartServers 


PidFile 184 


说 明 服务 器 用 于 记录 父 进程 (监控 进程 )PID 的 文件 
语法 PidFile filename 
默认 值 PidFile logs/httpd.pid 
作用 域 server config 
状态 MPM 
模块 beos , mpm winnt , mpmt os2 , prefork , worker 


PidFile 指令 设置 服务 器 用 于 记录 父 进 程 (监控 进程 )PID 的 文件 。 如 果 指 定 的 不 是 绝对 路 径 ， 
那么 将 视 为 基于 serverRoot 的 相对 路 径 。 


示例 


PidFile /var/run/apache.pid 


这 个 文件 通常 用 来 便于 给 服务 器 父 进 程 发 送 一 个 信号 ， 用 于 关闭 或 重启 服务 器 ， 以 重新 打 
FF ErrorLog 和 TransferLog 文件 、 重 新 读 取 配 置 文件 。 这 些 可 以 通过 发 送 一 个 "SIGHUP'"(kill 
-1) 信 号 到 pidFile 记录 的 进程 PID。 


PidFile 和 其 他 日 志文 件 一 样 要 注意 放置 位 置 和 安全 问题 。 


NE 
LER 


从 Apache2 开 始 ， 推 荐 使 用 apachecti 脚本 来 启动 或 停止 服务 器 。 


ReceiveBufferSize 指 今 


说 明 
语法 
默认 值 
作用 域 
状态 
模块 


TCP 接 收 缓冲 区 大 小 ( 字 节 ) 


ReceiveBufferSize bytes 


ReceiveBufferSize 0 


server config 


MPM 


beos , mpm netware 


mpm winnt 


mpmt os2 


这 个 指 今 设置 服务 器 的 TCP 接 收 缓冲 区 的 大 小 ( 字 节 )。 提 
高 潜伏 时 间 (100ms 左 右 )。 


如 果 设 置 为 "6。"， 将 使 用 操作 系统 默认 值 。 


ScoreBoardFile 1E 4 


说 明 
语法 
默认 值 
作用 域 
KAS 
模块 


= 


局 


prefork , worker 


这 个 值 会 导致 两 个 后 果 : 


存储 子 进 程 协调 数据 (coordination data) 的 文件 


ScoreBoardFile file-path 


ScoreBoardFile logs/apache status 


server config 


MPM 


beos , 


mpm winnt 


prefork 


worker 


Apache 使 用 记分 板 (scoreboard) 在 父 进 程 和 子 进程 之 间 进 行 通信 。 一 些 体 系 结构 要 求 有 一 个 
文件 来 帮助 通信 。 如 果 未 指定 这 个 文件 ，Apache 会 首先 尝试 在 匿名 共享 内 存 中 建立 完整 的 记 


分 板 (scoreboard 


) 
若 利用 这 个 指令 指定 这 个 文件 的 位 置 ， 则 Apache 将 总 是 在 磁盘 上 建立 这 个 文件 。 


示例 


ScoreBoardFile /var/run/apache status 


若 失败 ， 将 继续 党 试 使 用 基于 文件 的 共享 存储 器 在 磁盘 上 建立 这 个 文件 。 


基于 文件 的 共享 存储 器 对 于 使 用 直接 访问 记分 板 (scoreboard) 的 第 三 方程 序 是 很 有 用 的 。 


将 ScoreBoardFile 放置 在 RAM disk 中 会 对 速度 提升 有 很 大 帮助 。 但 是 同 其 他 日 志文 件 一 样 也 


要 注意 放置 位 置 和 安全 问题 。 


参见 


z 


e 停止 和 重启 Apache 


SendBufferSize 指令 


说 明 
语法 SendBufferSize bytes 
默认 值 SendBufferSize 0 
VE FA server config 
TK MPM 
模块 beos , mpm netware , 


这 个 指 命 设置 服务 器 的 TCP 发 送 缓冲 区 的 大 小 ( 字 节 )。 提 高 这 个 值 会 导致 两 个 后 果 : 


高 潜伏 时 间 (100ms 左 右 )。 


mpm winnt , 


TCP 发 送 缓冲 区 大 小 ( 字 节 ) 


mpmt os2 , prefork , worker 


如 果 设 置 为 "6"， 将 使 用 操作 系统 默认 值 。 


ServerLimit 1E 4 


说 明 服务 器 允许 配置 的 进程 数 上 限 


语法 ServerLimit number 
默认 值 参见 下 面 的 说 明 

作用 域 server config 

状态 MPM 

模块 prefork , worker 


对 于 prefork MPM, CHEDE T maxclients 最 大 人 允许 配置 的 数值 。 对 于 worker MPM, 
这 个 指令 和 ThreadLimit 结合 使 用 设置 了 MaxClients 最 大 人 允许 配置 的 数值 。 任何 在 重启 期 间 
对 这 个 指使 的 改变 都 将 被 忽略 ， 但 对 maxclients 的 修改 却 会 生效 。 


使 用 这 个 指令 时 要 特别 当心 。 如 果 将 serverLimit 设置 成 一 个 高 出 实际 需要 许多 的 值 ， 将 会 有 
过 多 的 共享 内 存 被 分 配 。 ASR RY ServerLimit 和 MaxClients 设置 成 超过 系统 的 处 理 能 
Apache 可 能 无 法 启动 ， 或 者 系统 将 变 得 不 稳定 。 

对 于 prefork MPM， 只 有 在 你 需要 将 Maxclients 设置 成 高 于 默认 值 256 的 时 候 才 需要 使 用 这 
个 指令 。 要 将 此 指令 的 值 保 持 和 Maxclients 一 样 。 

对 于 worker MPM， 只 有 在 你 需要 将 Maxclients 和 ThreadsPerchild 设置 成 需要 超过 默认 值 
16 个 子 进 程 的 时 候 才 需 要 使 用 这 个 指令 。 不 要 将 该 指令 的 值 设 置 的 比 Maxclients 需要 的 子 进 
程 数量 高 。 


MBGxm 
LERRA 


Apache 在 编译 时 内 部 有 一 个 硬 限制 " serverLimit 20000 "(对 于 prefork MPM 
Jj" ServerLimit 200000 ")。 你 不 能 超越 这 个 限制 。 
£z 


参见 


e 停止 和 重启 Apache 


StartServers 指令 


说 明 服务 器 启动 时 建立 的 子 进程 数 


语法 StartServers number 

默认 值 参见 下 面 的 说 明 

作用 域 server config 

状态 MPM 

模块 mpmt os2 , prefork , worker 


StartServers 指使 设置 了 服务 器 启动 时 建立 的 子 进程 数量 。 因为 子 进 程 数量 动态 的 取决 于 负 
载 的 轻重 ， 所 有 一 般 没 有 必要 调整 这 个 参数 。 


TEPU 对 于 worker 默认 值 是 " 3 "。 对 于 prefork 默认 值 


是 "5 "， mpmt os2 是 " 2' 


StartThreads 


说 明 服务 器 启动 时 建立 的 线程 数 
语法 StartThreads number 
默认 值 参见 下 面 的 说 明 
作用 域 server config 
状态 MPM 
模块 beos , mpm netware 


置 了 服务 器 启动 时 建立 的 线程 数量 。 因 为 线程 数量 动态 的 取决 于 负载 的 轻重 ， 所 有 一 般 没 
有 必要 调整 这 个 PL, 


对 于 mpm netware ， 默 认 值 是 " 56 "， 由 于 只 有 一 个 进程 ， 因 此 所 有 的 线程 都 将 用 于 伺服 请 
求 。 


对 于 beos ， 默 认 值 是 ' 10"， 同 样 也 是 所 有 的 线程 都 将 用 于 伺服 请 求 。 


ThreadLimit 1&4 


说 明 每 个 子 进程 可 配置 的 线程 数 上 限 


语法 ThreadLimit number 
默认 值 参见 下 面 的 说 明 

作用 域 server config 

状态 MPM 

模块 mpm winnt , worker 

兼容 性 仅 用 于 2.0.41 及 以 后 版 本 的 mpm winnt 


这 个 指使 设置 了 每 个 子 进程 可 配置 的 线程 数 ThreadsPerchild 上 限 。 任 何在 重启 期 间 对 这 个 指 
兮 的 改变 都 将 被 忽略 ， 但 对 ThreadsPerChild 的 修改 却 会 生效 。 


使 用 这 个 旨 邻 时 要 特别 当心 。 如 果 闻 ThreadLimit 设置 成 一 个 高 出 ThreadsPerChild 实际 需要 
很 多 的 值 ， 将 会 有 过 多 的 共享 内 存 被 分 配 。 如 果 将 ThreadLimit 和 ThreadsPerchild 设置 成 超 
过 系统 的 义理 能 力 ，Apache 可 能 无 法 启动 ， 或 者 系统 将 变 得 不 稳定 。 该 指 今 的 值 应 当 

和 ThreadsPerchild 可 能 达到 的 最 大 值 保 持 一 致 。 


对 于 mpm winnt , ThreadLimit 的 默认 值 是 1920 ; 对 于 其 他 MPM 这 个 值 是 64 。 


> 
LER 


Apache 在 编译 时 内 部 有 一 个 硬性 的 限制 " ThreadLimit 20000 "(xt 
于 mpm winnt 是 " ThreadLimit 15699")， 你 不 能 超越 这 个 限制 。 


ThreadsPerChild i84 


说 明 每 个 子 进 程 建立 的 线程 数 
语法 ThreadsPerChild number 
默认 值 参见 下 面 的 说 明 
作用 域 server config 
状态 MPM 
模块 mpm winnt , worker 


这 个 指令 设置 了 每 个 子 进程 建立 的 线程 数 。 子 进程 在 启动 时 建立 这 些 线程 后 就 不 再 建立 新 的 
线程 了 。 如 果 使 用 一 个 类 似 于 mpm_winnt 只 有 一 个 子 进程 的 MPM， 这 个 数值 要 足够 大 ， 以 便 
可 以 义理 可 能 的 请 求 高 峰 。 如 果 使 用 一 个 类 似 于 «worker 有 多 个 子 进程 的 MPM， 每 个 子 进程 所 


拥有 的 所 有 线程 的 总 数 要 足够 大 ， 以 便 可 以 处 理 可 能 的 请 求 高 峰 。 


对 于 mpm_winnt , ThreadsPerchild 的 默认 值 是 64 ; 对 于 其 他 MPM 是 25 。 


ThreadStackSize 1&4 


说 明 义理 客户 端 连接 的 线程 使 用 的 栈 尺 寸 ( 字 节 ) 
语法 ThreadStackSize size 
默认 值 Netware 上 为 65536 ; 其 它 平台 上 等 于 操作 系统 默认 值 
作用 域 server config 
状态 MPM 
模块 mpm_netware ，mpm_winnt ，worker 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


ThreadStackSize 指令 设置 了 义理 客 户 端 连 接 (包括 调用 模块 以 协助 处 理 ) 的 线程 允许 使 用 的 最 
大 栈 尺 寸 ( 字 节 )。 在 大 多 数 情况 下 ， 操 作 系 统 默认 的 栈 尺 寸 很 合理 ， 但 是 在 某 些 情况 下 ， 需 要 


调整 这 个 值 : 


e. 在 默认 栈 尺 寸 较 小 的 平台 上 (比如 HP-UX)，Apache 可 能 会 在 使 用 一 些 需要 较 大 栈 尺 寸 的 
第 三 方 模块 时 骨 溃 。 这 样 的 问题 可 以 通过 将 Threadstacksize 设置 为 一 个 较 大 的 值 来 解 
决 。 这 种 调整 应 当 仅 仅 在 第 三 方 模块 提供 者 明确 要 求 的 情况 下 才 需 要 ， 或 者 是 您 通过 诊 
断 确 定 是 由 于 栈 空 间 太 小 而 导致 崩溃 。 

。 在 某 些 平台 上 ， 如 果 默 认 的 栈 空间 大 于 服务 器 运行 所 需 空 间 ， 那 么 将 Threadstacksize 值 
降低 到 小 于 操作 系统 默认 值 可 以 让 每 个 进程 中 允许 生成 的 最 大 线程 数量 增加 。 这 种 类 型 
的 调整 应 该 仅 在 测试 环境 中 使 用 ， 并 且 对 所 有 服务 器 进程 进行 充分 的 测试 ， 因 为 处 理 某 
些 罕见 的 请 求 需要 较 大 的 栈 空间 。 一 个 很 小 的 服务 器 配置 变化 就 有 可 能 使 得 当前 


的 Threadstacksize 设置 变 得 不 合适 。 


User 指 今 
说 明 实际 服务 于 请 求 的 子 进程 运行 时 的 用 户 
语法 User unix-userid 
默认 值 User #-1 
作用 域 server config 
状态 MPM 
模块 prefork ，worker 


兼容 性 2.0 版 本 起 仅 在 全 局 服务 器 配置 中 可 用 


user 指 合 用 于 设置 实际 提供 服务 的 子 进程 的 用 户 。 为 了 使 用 这 个 指 合 ， 服 务 器 必须 

以 root 身份 启动 和 初始 化 。 如 果 你 以 非 root 身份 启动 服务 器 ， 子 进程 将 不 能 够 切换 至 非特 
权 用 户 ， 并 继续 以 启动 服务 器 的 原始 用 户 身 份 运 行 。 如 果 确 实 以 root 用 户 启动 了 服务 器 ， 那 
么 父 进程 将 仍然 以 root 身份 运行 。Unix-userid 是 下 列 值 之 一 : 


一 个 用 户 名 

通过 用 户 名 引用 用 户 

"#" 号 后 面 跟 一 个 用 户 编号 
通过 用 户 编号 引用 用 户 


用 于 运行 子 进程 的 用 户 必 须 是 一 个 没有 特权 的 用 户 ， 这 样 才 能 保证 子 进 程 无 权 访问 那些 不 想 
为 外 界 所 知 的 文件 ， 同 样 的 ， 该 用 户 亦 需 没 有 执行 那些 不 应 当 被 外 界 执行 的 程序 的 权限 。 强 
烈 推 荐 你 专门 为 Apache 子 进程 建立 一 个 单独 的 用 户 和 组 。 一 些 管理 员 使 用 nobody 用 户 ， 但 
是 这 并 不 能 总 是 符合 要 求 ， 因 为 可 能 有 其 他 程序 也 在 使 用 这 个 用 户 。 


安全 

不 要 将 User (或 Group ) 设 置 成 root , PREFER BA A IS BI CETT A , 并 且 明 白 其 风险 所 
在 。 

特别 提示 : 在 «virtualHost» 段 中 使 用 该 指令 已 经 不 再 被 支持 了 。 你 可 以 使 


用 suexec 的 SuexecUserGroup 指令 来 达到 这 个 目的 。 


LERRA 


虽然 user 指令 也 存在 于 beos 和 mpmt os2 MPM 中 ， 但 是 事实 上 没 用 任何 用 处 ， 只 不 过 是 个 
iE XI. 


Apache MPM beos 


说 明 This Multi-Processing Module is optimized for BeOS. 
状态 MPM 
模块 名 mpm beos module 


源 文件 beos.c 


概述 


This Multi-Processing Module (MPM) is the default for BeOS. It uses a single control 
process which creates threads to handle requests. 


MaxRequestsPerThread 184 


Limit on the number of requests that an individual thread will handle 


说 明 . . . 
during its life 
语法 MaxRequestsPerThread number 
m x 
默认 MaxRequestsPerThread 0 
值 
作用 | 
s server confi 
域 g 
状态 MPM 


模块 beos 


MaxRequestsPerThread directive sets the limit on the number of requests that an individual 
server thread will handle. After MaxRequestsPerrhread requests, the thread will die. If 
MaxRequestsPerThread iS o , then the thread will never expire. 


Setting MaxRequestsPerThread to a non-zero limit has two beneficial effects: 


e itlimits the amount of memory that a thread can consume by (accidental) memory 
leakage; 

e by giving threads a finite lifetime, it helps reduce the number of threads when the server 
load reduces. 


For KeepAlive requests, only the first request is counted towards this limit. In effect, it 
changes the behavior to limit the number of connections per thread. 


Apache MPM event 


说 明 An experimental variant of the standard worker MPM 
状态 MPM 
模块 名 mpm event module 


源 文件 event.c 


This MPM is experimental, so it may or may not work as expected. 


To use the event MPM, add --with-mpm=event tothe configure script's arguments when 


building the nttpd . 


This MPM depends on APR's atomic compare-and-swap operations for thread 
synchronization. If you are compiling for an x86 target and you don't need to support 386s, 
or you are compiling for a SPARC and you don't need to run on pre-UltraSPARC chips, add 
--enable-nonportable-atomics=yes to the configure scripts arguments. This will cause 
APR to implement atomic operations using efficient opcodes not available in older CPUs. 


Apache MPM netware 


说 Multi-Processing Module implementing an exclusively threaded web server 
明 optimized for Novell NetWare 


MPM 


块 mpm netware module 


X mpm netware.c 


This Multi-Processing Module (MPM) implements an exclusively threaded web server that 
has been optimized for Novell NetWare. 


The main thread is responsible for launching child worker threads which listen for 
connections and serve them when they arrive. Apache always tries to maintain several «dfn 
class="calibre27">spare</dfn> or idle worker threads, which stand ready to serve incoming 
requests. In this way, clients do not need to wait for a new child threads to be spawned 
before their requests can be served. 


StartThreads , MinSpareThreads , MaxSpareThreads , and MaxThreads regulate how the main 
thread creates worker threads to serve requests. In general, Apache is very self-regulating, 
so most sites do not need to adjust these directives from their default values. Sites with 
limited memory may need to decrease waxrhreads to keep the server from thrashing 
(spawning and terminating idle threads). More information about tuning process creation is 
provided in the performance hints documentation. 


MaxRequestsPerChild controls how frequently the server recycles processes by killing old 
ones and launching new ones. On the NetWare OS it is highly recommended that this 
directive remain set to 0. This allows worker threads to continue servicing requests 
indefinitely. 


MaxThreads 指令 


说 明 Set the maximum number of worker threads 


语法 MaxThreads number 
默认 值 MaxThreads 2048 
作用 域 server config 

状态 MPM 

模块 mpm_netware 


MaxThreads directive sets the desired maximum number worker threads allowable. The 
default value is also the compiled in hard limit. Therefore it can only be lowered, for 


example: 


MaxThreads 512 


Apache MPM os2 


说 明 Hybrid multi-process, multi-threaded MPM for OS/2 
TK MPM 
模块 名 mpm mpmt os2 module 
源 文件 mpmt os2.c 


SIM 
概述 
The Server consists of a main, parent process and a small, static number of child processes. 


The parent process's job is to manage the child processes. This involves spawning children 
as required to ensure there are always startservers processes accepting connections. 


Each child process consists of a a pool of worker threads and a main thread that accepts 
connections and passes them to the workers via a work queue. The worker thread pool is 
dynamic, managed by a maintenance thread so that the number of idle threads is kept 
between MinspareThreads 和 MaxSpareThreads . 


Apache MPM prefork 


说 明 一 个 非 线程 型 的 、 预 派生 的 MPM 
状态 MPM 
模块 名 mpm prefork module 
源 文件 prefork.c 


概述 


这 个 多 路 处 理 模块 (MPM) 实 现 了 一 个 非 线 程 型 的 、 预 派生 的 web 服 务 器 ， 它 的 工作 方式 类 似 于 
Apache 1.3。 它 适合 于 没有 线程 安全 库 ， 需 要 避免 线程 兼容 性 问题 的 系统 。 它 是 要 求 将 每 个 
请 求 相互 独立 的 情况 下 最 好 的 MPM， 这 样 若 一 个 请 求 出 现 问 题 就 不 会 影响 到 其 他 请 求 。 


这 个 MPM 具 有 很 强 的 自我 调节 能 力 ， 只 需要 很 少 的 配置 指令 调整 。 最 重要 的 是 
将 MaxClients 设置 为 一 个 足够 大 的 数值 以 处 理 潜在 的 请 求 高 峰 ， 同 时 又 不 能 太 大 ， 以 致 需要 
使 用 的 内 存 超出 物理 内 存 的 大 小 。 


工作 方式 


一 个 单独 的 控制 进程 ( 父 进 程 ) 负 责 产生 子 进程 ， 这 些 子 进程 用 于 监听 请 求 并 作出 应答 。 
Apache 总 是 试图 保持 一 些 <dfn class="calibre27"> 各 用 的 (spare)</dfn> 或 者 是 空闲 的 子 进 程 用 
于 迎接 即将 到 来 的 请 求 。 这 样 客户 端 就 不 需要 在 得 到 服务 前 等 候 子 进程 的 产生 。 


StartServers , MinSpareServers , MaxSpareServers , MaxClients 指使 用 于 调节 父 进程 如 何 产 


生子 进程 。 通 常情 况 下 Apache 具 有 很 强 的 自我 调节 能 力 ， 所 以 一 般 的 网 站 不 需要 调整 这 些 指 
倒 的 默认 值 。 可 能 需要 处 理 最 大 超过 256 个 并 发 请 求 的 服务 器 可 能 需要 增加 Maxclients 的 
值 。 内 存 比 较 小 的 机 器 则 需要 减少 Maxclients 的 值 以 保证 服务 器 不 会 崩溃 。 更 多 关于 调整 进 
程 产 生 的 问题 请 参见 性 能 方面 的 提示 。 


在 Unix 系 统 中 ， 父 进程 通常 以 root 身份 运行 以 便 邦 定 80 端 口 ， 而 Apache 产 生 的 子 进 程 通常 

以 一 个 低 特 权 的 用 户 运 行 。 user 和 croup 指令 用 于 设置 子 进程 的 低 特权 用 户 。 运 行 子 进程 的 
用 户 必须 要 对 它 所 服务 的 内 容 有 读 取 的 权限 ， 但 是 对 服务 内 容 之 外 的 其 他 资源 必须 拥有 尽 可 

能 少 的 权限 。 


MaxRequestsPerChild 指 邻 控 制服 务 器 杀 死 旧 进程 产 生 新 进程 的 频率 。 


MaxSpareServers #8 


说 明 空闲 子 进 程 的 最 大 数量 


语法 MaxSpareServers number 
默认 值 MaxSpareServers 10 
作用 域 server config 

状态 MPM 

模块 prefork 


MaxSpareServers 指 命 设置 空 闪 子 进程 的 最 大 数量 。 所 谓 空闲 子 进程 是 指 没有 正在 处 理 请 求 的 
子 进程 。 如 果 当 前 有 超过 Maxspareservers 数量 的 空闲 子 进程 ， 那 么 父 进程 将 杀 死 多 余 的 子 进 
程 。 


只 有 在 非常 繁忙 机 器 上 才 需 要 调整 这 个 参数 。 将 此 参数 设 的 太 大 通常 是 一 个 坏 主意 。 如 果 你 
将 该 指令 的 值 设置 为 比 Minspareservers 小 ， Apache 将 会 自动 将 其 修改 


FX" MinSpareServers``+1 "o 


@  MinSpareServers 


@ StartServers 


MinSpareServers 184: 


说 明 空闲 子 进 程 的 最 小 数量 
语法 MinSpareServers number 
默认 值 MinSpareServers 5 
作用 域 server config 
状态 MPM 
模块 prefork 
Minspareservers 指 合 设 置 空间 子 进程 的 最 小 数量 。 所 谓 空闲 子 进程 是 指 没 有 正在 处 理 请 求 的 


子 进 程 。 如 果 当 前 空闲 子 进程 数 少 于 MinSpareServers ， uds. E 的 速 
度 产生 新 的 子 进 程 。 


只 有 在 非常 繁忙 机 器 上 才 需 要 调整 这 个 参数 。 将 此 参数 设 的 太 大 通常 是 一 个 坏 主意 。 
参见 


©  MaxSpareServers 


Apache 2.2 中 文官 方 文档 


@ StartServers 


Apache MPM prefork 440 


Apache MPM winnt 


说 明 专门 为 Windows NT 优化 过 的 MPM 
状态 MPM 
模块 名 mpm winnt module 
源 文件 mpm_winnt.c 


概述 


该 多 路 义理 模块 (MPM) 是 Windows NT 上 的 默认 值 。 它 使 用 一 个 单独 的 父 进程 产生 一 个 单独 的 
子 进程 ， 在 这 个 子 进程 中 轮流 产生 多 个 线程 来 义理 请 求 。 


Win32DisableAcceptEx 指令 


说 明 使 用 accept() 代 替 AcceptEx() 接 受 网 络 链接 
语法 Win32DisableAcceptEx 
默认 值 AcceptEx() 是 默认 的 ， 使 用 这 个 指 合 将 禁用 它 。 
作用 域 server config 
状态 MPM 
模块 mpm_winnt 
兼容 性 仅 在 Apache 2.0.49 及 以 后 的 版 本 中 可 用 


AcceptEx() 是 一 个 微软 的 WinSock2 API ， 通 过 使 用 BSD 风 格 的 accept() API 提 供 了 性 能 改 
善 。 一 些 流行 的 Windows 产 品 ， 上 比如 防 病毒 软件 或 虚拟 专用 网 络 软 件 ， 会 干扰 AcceptEx() 的 
正确 操作 。 如 果 你 遇 到 类 似 于 如 下 的 错误 : 


[error] (730038)An operation was attempted on something that is 
not a socket.: winnt accept: AcceptEx failed. Attempting to recover. 


你 就 需要 使 用 这 个 指 兮 来 禁止 使 用 AcceptEx() o 


Apache MPM worker 


说 明 支持 混合 的 多 线程 多 进程 的 多 路 处 理 模块 
状态 MPM 
模块 名 mpm_worker_ module 
源 文件 worker.c 


概述 


此 多 路 处 理 模 块 (MPM) 使 网 络 服务 器 支持 温 合 的 多 线程 多 进程 。 由 于 使 用 线程 来 处 理 请 求 ， 
所 以 可 以 处 理 海量 请 求 ， 而 系统 资源 的 开销 小 于 基于 进程 的 MPM。 但 是 ， 它 也 使 用 了 多 进 
程 ， 每 个 进程 又 有 多 个 线程 ， 以 获得 基于 进程 的 MPM 的 稳定 性 。 


控制 这 个 MPM 的 最 重要 的 指令 是 ， 控 制 每 个 子 进程 允许 建立 的 线程 数 的 ThreadsPerchild 指 
S. 和 控制 允许 建立 的 总 线程 数 的 MaxClients 指 兮 。 


工作 方式 


每 个 进程 可 以 拥有 的 线程 数量 是 固定 的 。 服 务 器 会 根据 负载 情况 增加 或 减少 进程 数量 。 一 个 
单独 的 控制 进程 ( 父 进程 ) 负 责 子 进程 的 建立 。 每 个 子 进程 可 以 建立 ThreadsPerChild 数量 的 服 
务 线程 和 和 一 个 监听 线程 ， 该 监听 线程 监听 接 入 请 求 并 将 其 传递 给 服务 线程 处 理 和 应答 。 


Apache 总 是 试图 维持 一 个 <dfn class="calibre27">4 FH (spare)«/dfn» R E Æ jx BARI 4- 2x tb. 
这 样 ， 客 户 端 无 须 等 待 新 线程 或 新 进程 的 建立 即 可 得 到 义理 。 初 始 化 时 建立 的 进程 数量 

由 startservers 指令 决定 。 随 后 父 进程 检测 所 有 子 进 程 中 空闲 线程 的 总 数 ， 并 新 建 或 结束 子 
进程 使 空闲 线程 的 总 数 维持 在 MinspareThreads 和 MaxspareThreads 所 指定 的 范围 内 。 由 于 这 
个 过 程 是 自动 调整 的 ， 几 乎 没有 必要 修改 这 些 指令 的 缺 省 值 。 可 以 并 行 处 理 的 客户 端的 最 大 
数量 取决 于 Maxclients 指令 。 活 动 子 进程 的 最 大 数量 取决 于 Maxclients IR 

以 ThreadsPerchild 的 值 。 


有 两 个 指令 设 置 了 活动 子 进程 数量 和 每 个 子 进程 中 线程 数量 的 硬 限制 。 要 想 改变 这 个 硬 限制 
必须 完全 停止 服务 器 然后 再 启动 服务 器 (直接 重启 是 不 行 的 )， serverLimit 是 活动 子 进程 数量 
的 硬 限 制 ， 它 必 须 大 于 或 等 于 MaxClients E REA ThreadsPerChild 的 值 。 ThreadLimit 是 所 有 服 
务 线程 总 数 的 硬 限 制 ， 它 必须 大 于 或 等 于 ThreadsPerchiid 指令 。 这 两 个 指令 必须 出 现在 其 
他 worker MPM 指 今 的 前 面 。 


在 设置 的 活动 子 进程 数量 之 外 ， 还 可 能 有 额外 的 子 进程 多 于 "正在 中 止 "的 状态 但 是 其 中 至 少 有 
一 个 服务 线程 仍然 在 处 理 客 户 端 请 求 ， 直 到 到 达 Maxclients 以 致 结束 进程 ， 虽 然 实际 数量 会 
很 小 。 这 个 行为 能 够 通过 以 下 禁止 特别 的 子 进程 中 止 的 方法 来 避免 : 


MaxRequestsPerChild 设 为 "0" 


x: 
e 将 MaxSpareThreads 和 Maxclients 设 为 相同 的 值 


一 个 典型 的 针对 worker MPM 的 配置 如 下 : 


ServerLimit 16 
StartServers 2 
MaxClients 150 
MinSpareThreads 25 
MaxSpareThreads 75 
ThreadsPerChild 25 


在 Unix 中 ， 为 了 能 够 绑 定 80 端 口 ， 父 进程 一 般 都 是 以 root 身份 和 启动， 随后 ，Apache 以 较 低 
权限 的 用 户 建 立 子 进程 和 线程 。 user 和 Group 指令 用 于 设置 Apache 子 进程 的 权限 。 BAF 
进程 必须 对 其 提供 的 内 容 拥 有 读 权 限 ， 但 应 该 尽 可 能 给 予 它 较 少 的 特权 。 另外 ， 除 非 使 用 
了 suexec ， 否 则 ， 这 些 指令 设置 的 权限 将 被 CGI 脚本 所 继承 。 


MaxRequestsPerChild 指 今 用 于 控制 服 务 器 建立 新 进程 和 结束 旧 进程 的 频率 。 


Apache mod actions 


说 明 基于 媒体 类 型 或 请 求 方法 ， 为 执行 CGI 脚本 而 提供 
状态 基本 (B) 
模块 名 actions module 
源 文件 mod actions.c 


此 模块 有 两 个 指令 。 Action 指令 让 你 可 以 在 对 特定 MIME 类 型 文件 请 求 的 时 候 运 行 CGI 脚 


本 。 script 指令 让 你 能 够 在 使 用 特定 请 求 方 法 的 时 候 运 行 CGI 脚本 。 这 使 得 执行 处 理 文 件 的 
CGI 脚本 更 加 容易 。 


Action 指令 


说 明 针对 特定 的 义理 器 或 内 容 类 型 激活 一 个 CGI 脚本 
语法 Action action-type cgi-script [virtual] 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 基本 (B) 
模块 mod_actions 
兼容 性 virtual 修饰 词 仅 在 Apache 2.1 及 之 后 的 版 本 中 可 用 


这 条 指令 添加 一 个 当 action-type 被 请 求 触 发 时 会 执行 cgi-script 的 动作 。cgi-script 是 一 个 URL 路 
径 ， 指 向 一 个 已 经 被 用 scriptalias SX AddHandler 指令 指定 为 CGI 脚本 的 资源 。action-type 可 
以 是 一 个 处 理 器 或 一 个 MIME 内 容 类 型 。 它 使 用 标准 的 PATH INFO 和 PATH TRANSLATED 环境 变 
量 来 发 送 此 URL 和 被 请 求 内 容 的 文件 路 径 。 用 于 该 请 求 的 处 理 器 通过 REDIRECT_HANDLER 变量 
传递 。 


例子 


# 对 特定 MIME 内 容 类 型 文件 的 请 求 

Action image/gif /cgi-bin/images.cgi 
# 对 于 具有 特定 扩展 名 的 文件 

AddHandler my-file-type .xyz 


Action my-file-type /cgi-bin/program.cgi 


在 第 一 个 例子 中 ， 对 于 所 有 对 MIME 类 型 " image/gif "的 请 求 都 将 被 指定 的 CGI 脚 
本 /cgi-bin/images.cgi 进行 处 理 。 

在 第 二 个 例子 中 ， 对 于 所 有 对 具有 扩展 名 " xyz "的 文件 的 请 求 都 将 被 指定 的 CGI 脚 
本 /cgi-bin/program.cgi 进行 处 理 。 


可 选 的 virtual 修饰 词 关 闭 了 对 所 请 求 的 文件 是 否 真实 存在 的 检查 。 这 个 修饰 词 很 有 用 ， 比 
如 希望 将 Action 使 用 于 虚拟 位 置 的 时 候 : 


示例 


«Location /news> 
SetHandler news-handler 


Action news-handler /cgi-bin/news.cgi virtual 
</Location> 


y 


A 


*  AddHandler 


Script 指令 


说 明 对 特定 的 请 求 方法 激活 一 个 CGI 脚本 
语法 Script method cgi-script 
作用 域 server config, virtual host, directory 
状态 基本 (B) 
模块 mod actions 


该 指令 添加 一 个 当 文 件 被 method 方 法 请 求 时 会 激活 脚本 cgi-script 的 动作 。cgi-script 是 一 个 
URL 路 径 ， 指 向 一 个 已 用 scriptAlias EX AddHandler 指令 指定 为 CGI 脚本 的 资源 。 它 使 用 标 
MERI PATH INFO 和 PATH TRANSLATED 环境 变量 来 发 送 此 URL 和 被 请 求 内 容 的 文件 路 径 。 


可 以 使 用 任意 的 方法 名 称 。 方法 名 大 小 罕 敏 感 ， 因此 Script PUT 和 Script put 具有 完全 不 
同 的 结果 。 


注意 ， Script 命 合 只 定义 了 默认 的 动作 。 如 果 一 个 CGI 脚 本 或 其 他 能 够 内 部 处 理 此 请 求 的 资 


源 被 调用 ， 就 将 这 样 做 。 同 时 注意 对 应 GET 方法 的 脚本 只 有 在 提供 了 查询 参数 的 时 候 才 会 被 
调用 (例如 : "foo.html?hi")。 否 则 ， 该 请 求 将 被 正常 处 理 。 


例子 


4 <ISINDEX> 风 格 的 搜索 
Script GET /cgi-bin/search 
# A CGI PUT 处 理 器 


Script PUT /~bob/put.cgi 


Apache? à mod alias 


说 明 提供 从 文件 系统 的 不 同 部 分 到 文档 树 的 映射 和 URL 重 定向 
状态 基本 (B) 
模块 名 alias module 


源 文件 mod alias.c 


概述 


此 模块 提供 的 指使 可 以 操控 作为 请 求 到 达 服 务 器 的 URL。 Alias 和 ScriptAlias ESAFE 
URL 和 文件 系统 路 径 之 间 实 现 映 射 ， 使 不 在 DocumentRoot 目录 下 的 内 容 也 能 成 为 文档 树 的 一 
部 分 ， 其 中 ， scriptAlias 指令 有 更 多 一 层 的 含义 ， 它 标明 此 目标 目录 下 只 有 CGI 脚本 。 


Redirect 指令 引导 客户 端 以 一 个 不 同 的 URL 产 生 一 个 新 的 请 求 ， 常 用 于 一 个 资源 被 移动 到 一 
个 新 位 置 的 时 候 。 


mod alias 被 设计 成 处 理 普 通 的 URL 操 作 。 复 杂 的 URL 操 作 ， 上 比如 处 理 请 求 字符 串 ， 请 使 
用 mod_rewrite 提供 的 强大 功能 。 


处 理 顺 序 


出 现在 不 同 作 用 域 (context) 中 的 别名 指令 以 及 重 定向 指令 和 其 他 指 今 一样 ， 按 照 标 准 的 合并 规 
则 进行 处 理 。 但 是 当 多 个 别名 指 今 或 重 定向 指令 出 现在 同一 个 作用 域 (context) 中 的 时 候 ( 比 如 
在 同一 个 «virtualHost» 段 )， 义 理 顺 序 就 比较 特别 了 : 


首先 ， 所 有 重 定向 指令 都 优先 于 别名 指令 被 处 理 ， 因 此 一 个 匹 

fid Redirect 或 RedirectMatch 的 请 求 将 永远 不 会 被 别名 指令 处 理 。 其 次 ， 别名 指令 和 重 定向 
旨 邻 将 按照 他 们 在 配置 文件 中 出 现 的 先后 顺序 进行 匹配 ， 并 由 最 先 匹 配 到 的 指令 进行 处 理 。 
因为 这 个 原因 ， 当 两 个 或 两 个 以 上 的 这 些 指令 作用 于 同一 个 子路 径 时 ， 你 必须 将 最 特殊 的 路 
径 放 在 最 前 面 ， 以 便 所 有 指 今 都 能 正确 地 生效 。 例 如 下 面 的 例子 将 按照 你 原本 的 意愿 正常 工 
作 : 


Alias /foo/bar /baz 


Alias /foo /gaq 


但 是 ， 如 果 将 上 面 两 条 指令 的 顺序 颠倒 ， 则 后 一 条 指令 永远 也 得 不 到 匹配 的 机 会 。 


Alias 1&4 


说 明 映射 URL 到 文件 系统 的 特定 区 域 
语法 Alias URL-path file-path&#124;directory-path 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod alias 


Alias 指 倒 使 文档 可 以 被 存储 在 DocumentRoot 以 外 的 本 地 文件 系统 中 。 以 (% 已 解码 的 )url- 
path 路 径 开 头 的 URL 可 以 被 映射 到 以 directory-path 开 头 的 本 地 文件 。 


示例 : 


Alias /image /ftp/pub/image 


xt"http://myserver/image/foo.gif" Wig sk, Ak 3s x [Bl /ftp/pub/image/foo.gif"»c (fF. AA 4x 
匹配 完整 路 径 ， 所 以 上 述 例子 不 会 匹配 对 "http://myserver/imagefoo.gif" 的 请 求 。 对 于 使 用 正 
则 表达 式 的 匹配 ， 请 参见 `AliasMatch ` 指 今 。 


注意 : 如 果 url-path 中 有 后 缀 "/"， 则 服务 器 要 求 有 后 缀 "/" 以 扩展 此 别名 。 也 就 是 


说 " Alias /icons/ /usr/local/apache/icons/ "并 不 能 对 " /icons "实现 别名 。 


注意 ， 可 能 需要 额外 指定 一 个 «Directory» 段 来 覆盖 别名 的 最 终 对 象 。 由 于 只 有 出 现 
在 <Directory> 段 之 前 的 别名 才 会 被 检测 ， 所 以 它 只 对 最 终 对 象 生 效 。 (由 于 执行 别名 操作 之 
前 «Location» 段 会 被 首先 扫描 一 次 ， 所 以 它们 也 是 有 效 的 ) 


特别 地 ， 如 果 对 在 DocumentRoot 之 外 的 某 个 目录 建立 了 一 个 Alias ， 则 可 能 需要 明确 的 对 目 
标 目录 设 定 访问 权限 。 


示例 : 


Alias /image /ftp/pub/image 
<Directory /ftp/pub/image> 
Order allow,deny 


Allow from all 
«/Directory» 


AliasMatch 1&4 


说 明 使 用 正则 表达 式 映射 URL 到 文件 系统 


语法 AliasMatch regex file-path&#124;directory-path 
作用 域 server config, virtual host 

状态 基本 (B) 

模块 mod_alias 


这 个 指令 与 Alias 等 效 ， 但 是 它 使 用 了 标准 的 正则 表达 式 ， 而 不 是 简单 的 前 级 匹配 。 如 果 此 
正则 表达 式 与 URL-path 相 匹配 ， 则 服务 器 会 把 所 匹配 的 括 弧 中 的 字符 串 蔡 换 到 该 指 邻 所 指定 
的 目标 字符 串 中 ， 并 视 之 为 一 个 文件 名 。 例 如 ， 要 使 用 " /icons "Hx, "I: 


AliasMatch ^/icons(.*) /usr/local/apache/icons$1 


Redirect #4 


说 明 发 送 一 个 外 部 重 定 向 使 客户 端 重 定向 到 一 个 不 同 的 URL 
语法 Redirect [status] URL-path URL 
作用 域 server config, virtual host, directory, .htaccess 
履 盖 项 Filelnfo 
状态 基本 (B) 
模块 mod alias 


该 指令 将 一 个 老 URL 映 射 为 一 个 新 URL， 此 新 URL 被 返回 到 客户 端 使 之 重 定向 到 一 个 新 地 
址 。 


老 URL-pa 妨 是 一 个 (% 已 解码 的 ) 以 "开头 的 (网 络 空间 ) 绝 对 路 径 。 新 UVRL 是 一 个 (% 已 编码 的 ) 
以 "%" 开 头 的 (网 络 空间 ) 绝 对 路 径 或 者 包含 协议 名 和 主机 名 的 完整 URL。 当 新 VRL 不 包含 协议 名 
和 主机 名 时 将 使 用 与 老 URL-path 相 同 的 当前 值 。 


这 样 ， 对 任何 以 老 URL-path 开 头 的 请 求 ， 将 返回 一 个 指向 以 新 URL 开 头 的 重 定向 应 答 。 


示例 : 


Redirect /service http://foo2.example.com/service 


如 果 客 户 端 请 求 "http:Wexample.com/service/foo.txt"， 则 会 被 重 定向 

到 "http://foo2.example.com/service/foo.txt"。 因 为 仅 匹 配 完整 路 径 ， 所 以 上 述 例 子 不 会 匹 
配 "http://example.com/servicefoo.txt" 请 求 。 对 于 使 用 正则 表达 式 的 匹配 ， 请 参见 
"RedirectMatch 18 S. 


Ee a al 
) 王 Fa 


重 定向 指 今 总 是 优先 于 Alias 和 ScriptAlias 指 令 ， 而 无 论 他 们 在 配置 文件 中 的 顺序 如 何 。 


如 果 没 有 指定 status 参 数 ， 则 重 定 向 是 "临时 的 "(HTTP status 302)。 也 就 是 对 客户 端 来 说 ， 此 
资源 的 位 置 变动 是 临时 性 的 。 此 status 参 数 可 以 返回 以 下 HTTP 状 态 码 : 


permanent 

返回 一 个 永久 性 重 定向 状态 码 (301)， 表 示 此 资源 的 位 置 变动 是 永久 性 的 。 
temp 

返回 一 个 临时 性 重 定向 状态 码 (302)， 这 是 默认 值 。 

seeother 

返回 一 个 "参见 "状态 码 (303)， 表 示 此 资源 已 经 被 替代 。 

gone 


返回 一 个 "已 废弃 "状态 码 (410)， 表 示 此 资源 已 经 被 永久 性 地 删除 了 。 如 果 指 定 了 这 个 状态 
码 ， 则 URL 参 数 将 被 忽略 。 


status 可 以 被 指定 为 数字 状态 以 返回 其 他 状态 码 。 如 果 此 状态 在 300-399 之 间 ， 则 必须 提供 
URL 参 数 ， 否 则 将 被 忽略 。 注 意 ， 此 状态 码 必须 是 Apache 已 知 的 (参见 http_protocol.c 中 
的 send error response FK AR). 


示例 : 


Redirect permanent /one http://example.com/two 


Redirect 303 /three http://example.com/other 


RedirectMatch 1&4 


Dt BH 基于 正则 表达 式 匹 配对 当前 的 URL 发 送 一 个 外 部 重 定向 
iG RedirectMatch [status] regex URL 
作用 域 server config, virtual host, directory, .htaccess 
fem i Filelnfo 
状态 基本 (B) 


模块 mod_alias 


该 指令 与 Redirect 等 效 ， 但 是 它 使 用 了 标准 的 正则 表达 式 ， 而 不 是 简单 的 前 级 匹配 。 如 果 
regex 与 URL-path 相 匹配 ， 则 服务 器 会 把 所 匹配 的 括 弧 中 的 字符 串 蔡 换 到 该 指令 所 指定 的 目标 
字符 串 中 ， 并 视 之 为 一 个 文件 名 。 例 如 ， 重 定向 所 有 GIF 文件 到 另 一 个 服务 器 上 同名 的 JPEG 
文件 ， 可 以 : 


RedirectMatch (.*)N.gif$ http://www.anotherserver.com$1.jpg 


RedirectPermanent 1&4 


说 明 发 送 一 个 外 部 永久 重 定向 使 客户 端 重 定向 到 一 个 不 同 的 URL 
语法 RedirectPermanent URL-path URL 
作用 域 server config, virtual host, directory, .htaccess 
Emi Filelnfo 
状态 基本 (B) 
模块 mod alias 


此 指令 告知 客户 端 此 重 定向 是 永久 性 的 (status 301), Æ" Redirect permanent "等 效 。 


RedirectTemp #8 


说 明 发 送 一 个 外 部 临时 重 定向 使 客户 端 重 定向 到 一 个 不 同 的 URL 
xk RedirectTemp URL-path URL 
作用 域 server config, virtual host, directory, .htaccess 
Em Filelnfo 
状态 基本 (B) 
模块 mod alias 


此 指令 告知 客户 端 此 重 定向 只 是 临时 性 的 (status 302), 5" Redirect temp "等 效 。 


ScriptAlias 18 4 


说 明 映射 一 个 URL 到 文件 系统 并 视 之 为 CGI 脚本 


语法 ScriptAlias URL-path file-path&#124;directory-path 
作用 域 server config, virtual host 

状态 基本 (B) 

模块 mod alias 


ScriptAlias 指使 的 行为 与 Alias 指令 相同 ， 但 同时 它 又 标明 此 目录 中 含有 应 该 由 cgi-script 
处 理 器 处 理 的 CGI 脚 本 。 以 URL-path 开 头 的 (% 已 解码 的 ) 的 URL 会 被 映射 到 由 第 二 个 参数 指定 
的 具有 完整 路 径 名 的 本 地 文件 系统 中 的 脚本 。 

示例 : 


ScriptAlias /cgi-bin/ /web/cgi-bin/ 


对 http://myserver/cgi-bin/foo 的 请 求 会 引导 服务 器 执行 /web/cgi-bin/foo 脚本 。 


ScriptAliasMatch 指 兮 


说 明 使 用 正则 表达 式 映 射 一 个 URL 到 文件 系统 并 视 之 为 CGI 脚本 
语法 ScriptAliasMatch regex file-path@#124;directory-path 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod_alias 


该 指令 与 scriptAlias 等 效 ， 但 是 它 使 用 了 标准 的 正则 表达 式 ， 而 不 是 简单 的 前 级 匹配 。 如 果 
regex 与 URL-path 相 匹配 ， 则 服务 器 会 把 所 匹配 的 括 弧 中 的 字符 串 蔡 换 到 该 指令 所 指定 的 目标 
字符 串 中 ， 并 视 之 为 一 个 文件 名 。 例 如 ， 要 使 用 标准 的 /cgi-bin , ALA: 


ScriptAliasMatch ^/cgi-bin(.*) /usr/local/apache/cgi-bin$1 


Apache? 4 mod asis 


说 明 发 送 自己 包含 HTTP 头 内 容 的 文件 
状态 基本 (B) 
模块 名 asis_module 
源 文件 mod asis.c 
概述 


这 个 模块 提供 了 send-as-is 义理 器 ， 这 样 Apache 可 以 不 加 大 多 数 常用 的 HTTP 头 (headers) 传 
送 它们 。 


这 可 以 用 来 从 服务 器 传送 任何 型 态 的 资料 ， 包 括 重 定向 以 及 其 它 特殊 的 HTTP 应 答 ， 而 不 需要 
cgi-script 或 是 nph script 。 


由 于 历史 原因 ， 这 个 模块 也 义理 MIME 类 型 为 httpd/send-as-is 的 文件 。 


用 法 
在 服务 器 配置 文档 里 ， 定 义 一 个 称 为 send-as-is 的 义理 器 ， 例 如 : 


AddHandler send-as-is asis 


任何 带 有 " asis "扩展 名 的 文件 的 内 容 被 Apache 发 往 客 户 端 时 几乎 没有 什么 变化 。 客 户 端 将 
需要 HTTP 头 来 联系 ， 所 以 别 忘记 它们 。"Status:" 是 必须 的 头 ; 此 数据 应 该 是 3 位 数字 的 HTTP 
应 答 码 ， 跟 随 一 段 文字 信息 。 


这 里 有 个 示例 文档 ， 其 内 容 将 按照 原样 输出 ， 它 是 告诉 客户 端 重 定向 到 另外 一 个 文件 : 


Status: 301 Now where did I leave that URL 

Location: http://xyz.abc.com/foo/bar.html 
Content-type: text/html 

<html> 

<head> 

<title>Lame excuses'R'us</title> 

</head> 

<body> 

<hi>Fred's exceptionally wonderful page has moved to 


«a href="http://xyz.abc.com/foo/bar .html">Joe's</a> 
site. 


</h1> 
</body> 


</html> 


sy ate 
ES : 


服务 器 总 会 在 送 给 客户 端的 资料 里 加 上 " pate: "和 " server: " 头 ， 所 以 这 两 个 头 不 应 该 包含 在 
这 个 文件 里 。 另外， 服务 器 不 会 加 上 通常 都 会 加 上 的 " Last-Modified: " 头 。 


Apache 模 块 mod auth. basic 


说 明 使 用 基本 认证 
状态 基本 (B) 
模块 名 auth basic module 
源 文件 mod auth basic.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


此 模块 使 用 HTTP 基 本 认证 ， 在 认证 支持 模块 的 帮助 下 查找 用 户 名 和 密码 ， 从 而 进行 访问 控 
制 。 而 mod auth digest 模块 则 提供 了 对 HTTP 摘 要 认证 的 支持 。 这 两 个 模块 通常 至 少 需 要 和 
一 个 认证 支持 模块 (如 mod_authn_file ) 和 一 个 授权 支持 模块 (如 mod_authz_user ) 一 起 使 用 。 


AuthBasicAuthoritative 1&4 


说 明 指定 是 否 将 (基本 ) 认 证 和 授权 操作 交 由 更 底层 的 模块 来 处 理 
ik AuthBasicAuthoritative On@#124;0ff 
默认 值 AuthBasicAuthoritative On 
作用 域 directory, .htaccess 
Emi AuthConfig 
状态 基本 (B) 
模块 mod auth basic 


通常 ， 在 authBasicProvider 中 列 出 的 每 一 个 认证 支持 者 都 会 尝试 校 验 用 户 ， 如 果 所 有 认证 支 
持 者 全 都 没有 通过 检验 ， 那么 访 问 将 被 拒绝 。 在 将 AuthBasicAuthoritative 明确 地 设置 为 

off 的 情况 下 ， 如 果 提 供 的 userID 不 能 与 任何 userlD 或 rule( 规 则 ) 相 匹配 ， 则 认证 和 授权 操 

作 均 转交 其 它 非 认证 支持 (non-provider-based) 模 块 (也 就 是 第 三 方 模块 ) 来 处 理 ; 仅仅 在 

将 mod auth basic 和 未 使 用 AuthBasicProvider 进行 配置 的 第 三 方 模块 联合 使 用 的 时 候 才 需要 
这 样 设置 。 在 使 用 这 种 第 三 方 模块 的 时 人 息 ， 人 处 理 顺序 是 在 该 模块 的 源 代码 中 设 定 的 ， 不 能 被 

重新 配置 。 


AuthBasicProvider 1&4 


说 明 
语法 
默认 值 
作用 域 
覆盖 项 
状态 


模块 


设置 该 区 域 的 (基本 ) 认 证 支持 者 (Provider) 
AuthBasicProvider provider-name [provider-name] ... 
AuthBasicProvider file 
directory, .htaccess 
AuthConfig 
基本 (B) 


mod auth basic 


AuthBasicProvider 指令 设置 了 该 区 域 的 (基本 ) 认 证 支持 者 (Providen)。 默 认 的 file 支持 者 
由 mod authn file 模块 实现 。 必 须 确 保 所 需 的 认证 支持 模块 存在 于 服务 器 中 (静态 连接 或 


DSO). 


示例 


«Location /secure» 


AuthType basic 


AuthBasicProvider  dbm 
AuthDBMType SDBM 
AuthDBMUserFile /www/etc/dbmpasswd 


Require valid-user 


«/Location» 


能 够 提供 认证 支持 者 (Provider) 的 模块 如 下 : mod_authn_dbm , mod authn file , 


mod authn dbd , 


mod authnz ldap o 


Apache à mod auth. digest 


说 明 使 用 MD5 摘 要 认证 (更 安全 ， 但 是 只 有 最 新 的 浏览 器 才 支 持 ) 
状态 实验 (X) 
模块 名 auth digest module 
源 文件 mod auth digest.c 


概述 


这 个 模块 实现 了 HTTP 摘 要 认证 。 由 于 尚未 进行 过 广泛 的 测试 ， 因 此 标记 为 试验 模块 。 


使 用 摘要 认证 


使 用 MD5 摘 要 认证 很 简单 。 简单 的 安装 认证 模块 后 使 
FA" AuthType Digest "和 AuthDigestProvider REHM 
BY" AuthType Basic "和 AuthBasicProvider ， 再 添加 一 个 AuthDigestDomain 指令 包含 至 少 是 需 


要 保护 的 区 域 的 根 URI。 
可 以 使 用 htdigest 工具 来 创建 和 添加 ( 纯 文 本 ) 用 户 列 表 文 件 。 


示例 : 


«Location /private/» 
AuthType Digest 
AuthName "private area" 
AuthDigestDomain /private/ http://mirror.my.dom/private2/ 
AuthDigestProvider file 
AuthUserFile /web/auth/.digest pw 


Require valid-user 
</Location> 


> 
LER 


摘要 认证 比 基 本 认证 更 安全 ， 但 是 直到 2004 年 9 月 ， 只 有 下 列 最 新 版 本 的 主流 浏览 器 支持 
€ : Amaya, Konqueror, MS Internet Explorer 6( 使 用 查询 字符 串 时 会 失败 ， 参 见 "配合 MS 
Internet Explorer 6 工作 "), Mozilla, Netscape 7, Opera, Safari 。 而 lynx 不 支持 摘要 认证 。 


为 摘要 认证 尚未 得 到 绝 大 多 数 浏览 器 的 支持 ， 你 应 当 只 将 它 应 用 在 你 可 以 控制 用 户 浏览 器 版 
本 的 场合 。 


配合 MS Internet Explorer 6 工作 
Internet Explorer 6 的 摘要 认证 实现 有 人 缺陷， 也 就 是 cet 请 求 的 查询 字符 串 与 RFC 规 范 并 不 兼 
容 。 有 几 个 途径 来 解决 这 个 问题 。 


第 一 个 途径 就 是 使 用 post 代替 cet 来 向 服务 器 传送 数据 。 如 果 你 的 程序 不 会 受到 这 种 变化 
的 影响 ， 这 是 最 简单 的 方法 ， 


从 2.0.51 版 本 开始 ， Apache 还 在 环境 变量 AuthDigestEnableQueryStringHack 中 提供 了 一 个 工 
作 区 (workaround)。 如 果 AuthDigestEnableQueryStringHack 被 打开 ， Apache 将 采取 措施 对 付 
Internet Explorer 6 的 bug ， 将 请 求 URI 从 摘要 上 比较 中 移 除 。 使 用 这 个 方法 将 需要 类 似 如 下 的 
配置 : 


在 MSIE6 中 使 用 摘要 认证 


BrowserMatch "MSIE" AuthDigestEnableQueryStringHack-On 


参见 BrowserMatch 指令 以 了 解 有 条 件 的 设置 环境 变量 的 更 多 细节 。 


AuthDigestAlgorithm 


说 明 选择 在 摘要 认证 中 用 于 计算 请 求 和 应 答 的 散 列 值 的 算法 
语法 AuthDigestAlgorithm MD5&#124;MD5-sess 
默认 值 AuthDigestAlgorithm MD5 
作用 域 directory, .htaccess 
Emi AuthConfig 
状态 实验 (X) 
模块 mod auth digest 


AuthDigestAlgorithm 指令 择 在 摘要 认证 中 用 于 计算 请 青 求 和 应 答 的 散 列 值 的 算法 。 
MD5-sess 算法 当前 尚未 实现 。 


AuthDigestDomain 


说 明 在 同一 保护 区 域 中 需要 进行 摘要 认证 的 URI 


语法 AuthDigestDomain URI [URI] ... 
作用 域 directory, .htaccess 

fem hl AuthConfig 

状态 实验 (X) 

模块 mod auth digest 


AuthDigestDomain 指令 用 于 指定 一 个 或 者 多 个 在 同一 保护 区 域 中 需要 进行 摘要 认证 的 URI( 也 
就 是 使 用 相同 的 区 域 和 用 户 名 /密码 信息 )。 这 些 被 指定 的 URI 只 是 前 级 ， 也 就 是 说 客户 端 将 假 
定 所 有 位 于 该 URI" 之 下 "的 URI 亦 受到 相同 用 户 名 /密码 的 保护 。 这 些 被 指定 的 URI 可 以 是 绝对 
URI( 也 就 是 包含 完整 的 协议 、 主 机 、 端 口 等 ) 或 者 相对 URI。 


这 个 指令 必须 总 是 被 指定 为 至 少 包 含 被 保护 页 面 的 根 URI。 省 略 这 个 会 导致 客户 端 为 每 个 请 求 
都 发 送 授 权 头 ， 除了 增加 请 求 的 字 节 大 小 外 ， 如 果 AuthDigestNcCheck 被 设 为 "On"， 还 会 影响 
服务 器 的 性 能 。 

这 里 指定 的 URI 可 以 分 别 指向 不 同 的 服务 器 ， 在 这 种 情况 下 客户 端 将 会 在 这 些 服 务 器 间 共 享用 
户 名 和 密码 信息 ， 并 且 不 会 提醒 用 户 。 


AuthDigestNcCheck 1&4 


说 明 Enables or disables checking of the nonce-count sent by the server 
语法 AuthDigestNcCheck On&#124; Off 
默认 值 AuthDigestNcCheck Off 


作用 域 ^ server config 


状态 实验 (X) 
模块 mod_auth_digest 
目前 尚未 实现 。 


AuthDigestNonceFormat 1&4 


说 明 
语法 
作用 域 
覆盖 项 
Ts 


模块 


目前 尚未 实现 。 


Determines how the nonce is generated 
AuthDigestNonceFormat format 
directory, .htaccess 
AuthConfig 
Sc 35 (X) 


mod auth digest 


AuthDigestNonceLifetime 184 


说 明 


语法 
默认 值 
作用 域 
覆盖 项 
状态 
模块 


服务 器 nonce( 当 前 值 ) 的 有 效 秒 数 
AuthDigestNonceLifetime seconds 
AuthDigestNonceLifetime 300 
directory, .htaccess 

AuthConfig 
实验 (X) 


mod auth digest 


AuthDigestNonceLifetime 指令 控制 服务 器 nonce( 当 前 值 ) 的 有 效 秒 数 。 当 客 户 端 连接 服务 器 时 

使 用 了 一 个 过 期 的 nonce( 当 前 值 )， 服 务 器 将 返回 一 个 带 有 " stale=true "的 401 错 误 (要 求 重新 
认证 )。 如 果 seconds 小 于 等 于 "0"， 那 么 nonce( 当 前 值 ) 将 永远 不 会 过 期 (强烈 反对 这 么 做 )。 一 
般 这 个 值 应 当 在 30 到 120 之 间 上 比较 合 理 (最 好 不 要 小 于 10)。 


AuthDigestProvider 1847 


说 明 
语法 
默认 值 
作用 域 
覆盖 项 
状态 


模块 


设置 该 区 域 的 (摘要 ) 认 证 支持 者 (Provider) 
AuthDigestProvider provider-name [provider-name] ... 
AuthDigestProvider file 
directory, .htaccess 
AuthConfig 
实验 (X) 


mod auth digest 


AuthDigestProvider 指令 设置 了 该 区 域 的 (摘要 ) 认 证 支持 者 (Provider)。 默 认 的 file 支持 者 
由 mod authn file 模块 实现 。 必 须 确 保 所 需 的 认证 支持 模块 存在 于 服务 器 中 (静态 连接 或 


DSO). 


能 够 提供 认证 支持 者 (Provider) 的 模块 如 下 : mod_authn_dbm 和 mod authn file o 


AuthDigestQop #83 


说 明 指定 摘要 认证 的 保护 质量 
语法 AuthDigestQop none&#124; auth&#124;auth-int [auth&#124; auth-int] 
默认 值 AuthDigestQop auth 


作用 域 directory, .htaccess 

fem i AuthConfig 

状态 实验 (X) 

模块 mod auth digest 

AuthDigestQop 指令 用 于 指定 使 用 那个 级 别 的 <dfn class-"calibre27"» 4&9 JR &(quality-of- 
protection)</dfn>。 auth 将 只 进行 认证 (用 户 名 /密码 ) ; auth-int 除了 认证 以 外 还 进行 完整 性 
校 验 (实体 的 MD5 值 将 被 计算 和 检查 ) ; none 将 使 用 旧 的 RFC-2069 摘 要 算法 (不 包含 完整 性 检 
查 ) ; auth 和 auth-Int 可 以 同时 指定 ， 在 这 种 情况 下 ， 浏览 器 将 会 自 己 选 择 使 用 哪 种 一 
种 。 none 不 推荐 使 用 。 


auth-int H 前 尚未 支持 。 


AuthDigestShmemSize 184 


说 明 为 了 跟踪 客户 端 而 分 配 的 共享 内 存 字 节 数 
语法 AuthDigestShmemSize size 
默认 值 AuthDigestShmemSize 1000 
作用 域 server config 
状态 实验 (X) 
模块 mod auth digest 


AuthDigestShmemSize 指令 由 定 了 服务 器 启 动 时 为 了 跟踪 客户 端 而 分 配 的 共享 内 存 字 节 数 。 注 
意 ， 这 个 共享 内 存 段 不 能 设置 为 小 于 只 跟踪 一 个 客户 端 所 需要 的 最 小 内 存 数量 ， 这 个 最 小 数 
量 取 决 于 你 的 系统 。 如 果 你 想 知 道 这 个 最 小 值 ， 你 只 要 将 AuthDigestShmemSize BA" oO", 9A 
后 读 取 重 启 Apache 时 返回 的 错误 信息 即 可 。 


size 通 常 按照 字 节 计算 ， 但 是 可 以 通过 加 上 后 级 " k "m" ow "来 按照 KB 或 MB 计算 。 比 如 ， 以 下 
写法 都 是 一 样 的 : 


AuthDigestShmemSize 1048576 
AuthDigestShmemSize 1024K 


AuthDigestShmemSize 1M 


Apache 模 块 mod authn alias 


说 明 
状态 

模块 名 
源 文件 
兼容 性 


概述 


基于 实际 认证 支持 者 创建 扩展 的 认证 支持 者 ， 并 为 它 起 一 个 别名 以 便于 引用 
扩展 (E) 
authn_alias_module 
mod authn alias.c 


仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


这 个 模块 可 以 在 配置 文件 中 基于 实际 认证 支持 者 创建 扩展 的 认证 支持 者 ， 并 为 它 起 一 个 别名 
以 便于 在 AuthBasicProvider 或 AuthDigestProvider 指令 中 像 实际 认证 支持 者 一 样 被 引用 。 此 
外 ， 它 还 允许 同一 个 认证 支持 者 在 不 同 的 区 域 被 多 次 引用 。 


示例 


下 面 的 例子 创建 了 基于 ldap( 实 际 ) 认 证 支持 者 的 两 个 不 同 的 Idap( 扩 展 ) 认 证 支持 者 别名 。 这 
样 ， 同 一 个 认证 区 域 就 可 以 被 多 个 ldap 主 机 伺服 。 


示例 


LoadModule authn alias module modules/mod authn alias.so 
«AuthnProviderAlias ldap ldap-aliasi» 
AuthLDAPBindDN cn=youruser, o=ctx 
AuthLDAPBindPassword yourpassword 


AuthLDAPURL ldap://ldap.host/o-ctx 
</AuthnProviderAlias> 


<AuthnProviderAlias ldap ldap-other-alias» 
AuthLDAPBindDN cn=yourotheruser, o=dev 
AuthLDAPBindPassword yourotherpassword 


AuthLDAPURL ldap://other.ldap.host/o-dev?cn 
</AuthnProviderAlias> 


Alias /secure /webpages/secure 
<Directory /webpages/secure> 
Order deny, allow 

Allow from all 
AuthBasicProvider ldap-other-alias ldap-alias1 
AuthType Basic 
AuthName LDAP_Protected_Place 
AuthzLDAPAuthoritative off 


require valid-user 
</Directory> 


«AuthnProviderAlias» 184 


说 明 封装 一 组 定义 扩展 认证 支持 者 的 指令 ， 并 为 其 指定 一 个 别名 
iE «AuthnProviderAlias baseProvider Alias&gt; ... &lt;/AuthnProviderAlias> 


作用 域 ^ server config, virtual host 
KA 扩展 (E) 


模块 mod_authn_alias 


«AuthnProviderAlias» 和 «/AuthnProviderAlias» 用 来 封装 一 组 定义 扩展 认证 支持 者 的 指 今 ， 
并 为 其 指定 一 人 别名 ， 这 个 别名 可 以 被 AuthBasicProvider 或 AuthDigestProvider 引用 。 


Apache 模 块 mod authn anon 


说 明 提供 匿名 用 户 认证 支持 
状态 扩展 (E) 
模块 名 authn anon module 
源 文件 mod authn anon.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


This module provides authentication front-ends such as mod auth basic to authenticate 
users similar to anonymous-ftp sites, /.e. have a 'magic' user id 'anonymous' and the email 
address as a password. These email addresses can be logged. 


Combined with other (database) access control methods, this allows for effective user 
tracking and customization according to a user profile while still keeping the site open for 
'unregistered' users. One advantage of using Auth-based user tracking is that, unlike magic- 
cookies and funny URL pre/postfixes, it is completely browser independent and it allows 
users to share URLs. 


When using mod auth basic , this module is invoked via the AuthBasicProvider directive 
with the anon value. 


Example 


The example below is combined with "normal" htpasswd-file based authentication and 
allows users in additionally as 'guests' with the following properties: 


e |t insists that the user enters a userlD. ( Anonymous NoUserID ) 


It insists that the user enters a password. ( Anonymous MustGiveEmail ) 

e The password entered must be a valid email address, i.e. contain at least one '@ and a 
'. ( Anonymous VerifyEmail ) 

e The userlD must be one of anonymous guest www test welcome and comparison is not 
case sensitive. ( Anonymous ) 

e And the Email addresses entered in the passwd field are logged to the error log file. 


( Anonymous LogEmail ) 


示例 


<Directory /foo> 
AuthName "Use 'anonymous' & Email address for guest entry" 


AuthType Basic 

AuthBasicProvider file anon 

AuthUserFile /path/to/your/.htpasswd 
Anonymous NoUserID off 

Anonymous MustGiveEmail on 

Anonymous VerifyEmail on 

Anonymous LogEmail on 

Anonymous anonymous guest www test welcome 
Order Deny,Allow 

Allow from all 


Require valid-user 
«/Directory» 


Anonymous 184 


说 明 Specifies userlDs that are allowed access without password verification 
语法 Anonymous user [user] 


作用 域 ^ directory, .htaccess 
fem | AuthConfig 
状态 扩展 (E) 
模块 mod authn anon 
A list of one or more 'magic' userlDs which are allowed access without password verification. 


The userlDs are space separated. It is possible to use the ' and " quotes to allow a space in 
a userlD as well as the \ escape character. 


Please note that the comparison is case-IN-sensitive. It's strongly recommended that the 
magic username ' anonymous ' is always one of the allowed userlDs. 


示例 : 


Anonymous anonymous "Not Registered" "I don't know" 


This would allow the user to enter without password verification by using the userlDs 
"anonymous", "AnonyMous", "Not Registered" and "I Don't Know". 


As of Apache 2.1 it is possible to specify the userlD as " * ". That allows any supplied 
userlD to be accepted. 


Anonymous LogEmail 184 


说 明 Sets whether the password entered will be logged in the error log 
语法 Anonymous. LogEmail On&#124; Off 
默认 值 Anonymous LogEmail On 


作用 域 ^ directory, .htaccess 
Emi AuthConfig 

状态 扩展 (E) 

模块 mod authn anon 


When set on , the default, the 'password' entered (which hopefully contains a sensible 
email address) is logged in the error log. 


Anonymous MustGiveEmail 18 4 


说 明 Specifies whether blank passwords are allowed 
语法 Anonymous_MustGiveEmail On&#124; Off 
默认 值 Anonymous MustGiveEmail On 
作用 域 directory, .htaccess 
Em AuthConfig 
状态 扩展 (E) 
模块 mod authn anon 


Specifies whether the user must specify an email address as the password. This prohibits 
blank passwords. 


Anonymous NoUserID #83 


说 明 Sets whether the userlD field may be empty 


语法 Anonymous NoUserID On&#124; Off 
默认 值 Anonymous. NoUserID Off 

作用 域 directory, .htaccess 

Emi AuthConfig 

状态 扩展 (E) 

模块 mod authn anon 


When set on , users can leave the userlD (and perhaps the password field) empty. This can 
be very convenient for MS-Explorer users who can just hit return or click directly on the OK 
button; which seems a natural reaction. 


Anonymous VerifyEmail 18 4 


Sets whether to check the password field for a correctly formatted email 


"Y H 

说 明 address 
语法 Anonymous VerifyEmail On&#124; Off 
默认 Anonymous VerifyEmail Off 

值 

作用 directory, .htaccess 

域 

覆盖 : 

m AuthConfig 

状态 ， 扩 展 (E) 

模块 mod authn anon 


When set on the 'password' entered is checked for at least one '@' and a '.' to encourage 
users to enter valid email addresses (see the above Anonymous LogEmail ). 


Apache 模 块 mod authn dbd 


说 明 使 用 SQL 数据 库 为 认证 提供 支持 
状态 扩展 (E) 
模块 名 authn dbd module 
源 文件 mod authn dbd.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


This module provides authentication front-ends such as mod auth digest 和 mod auth basic 
to authenticate users by looking up users in SQL tables. Similar functionality is provided by, 
for example, mod authn file . 


This module relies on mod dbd to specify the backend database driver and connection 
parameters, and manage the database connections. 


When using mod auth basic 或 mod auth digest , this module is invoked via the 
AuthBasicProvider SX AuthDigestProvider with the dba value. 


Configuration Example 


This simple example shows use of this module in the context of the Authentication and DBD 
frameworks. 


#Database Management 


#Use the PostgreSQL driver 
DBDriver pgsql 


#Connection string: database name and login credentials 
DBDParams "dbname=htpasswd user=apache pass-xxxxxx" 


#Parameters for Connection Pool Management 
DBDMin 1 

DBDKeep 2 

DBDMax 10 

DBDExptime 60 


#Authentication Section 
<Directory /usr/www/myhost/private> 


#mod_auth configuration for authn_dbd 
AuthType Basic 

AuthName "My Server" 
AuthBasicProvider dbd 


#authz configuration 
Require valid-user 


#SQL query to verify a user 

#(note: DBD drivers recognise both stdio-like %s and native syntax) 

AuthDBDUserPWQuery "select password from authn where username = %s" 
«/Directory» 


AuthDBDUserPWQuery #83 


说 明 SQL query to look up a password for a user 
Em AuthDBDUserPWQuery query 
作用 域 directory 
覆盖 项 AuthConfig 
状态 扩展 (E) 
模块 mod authn dbd 


AuthDBDUserPWQuery specifies an SQL query to look up a password for a specified user. The 
query must take a single string (typically SQL varchar) argument (username), and return a 
single value (encrypted password). 


AuthDBDUserPWQuery "SELECT password FROM authn WHERE username = 96s" 


AuthDBDUserRealmQuery 184 


说 明 
语法 
作用 域 
覆盖 项 
Ts 


模块 


SQL query to look up a password hash for a user and realm. 
AuthDBDUserRealmQuery query 
directory 
AuthConfig 
扩展 (E) 
mod authn dbd 


AuthDBDUserRealmPWQuery specifies an SQL query to look up a password for a specified user 
and realm. The query must take two string (typically SQL varchar) arguments (username 


and realm), and return a single value (encrypted password). 


AuthDBDUserRealmPWQuery "SELECT password FROM authn 


WHERE username - 96s AND realm - 96s" 


Apache: mod authn dbm 


说 明 使 用 DBM 数 据 库 为 认证 提供 支持 
状态 扩展 (E) 
模块 名 authn dbm module 
源 文件 mod authn dbm.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


This module provides authentication front-ends such as mod auth digest 和 mod auth basic 
to authenticate users by looking up users in «dfn class="calibre27">dbm</dfn> password 
files. Similar functionality is provided by mod authn file. 


When using mod auth basic 或 mod auth digest , this module is invoked via the 


AuthBasicProvider SX AuthDigestProvider with the dom value. 


AuthDBMType 184 


说 明 Sets the type of database file that is used to store passwords 
语法 AuthDBMType defau1lt&#124;SDBM&#124;GDBM&#124;NDBM&#124; DB 
默认 值 AuthDBMType default 


作用 域 directory, .htaccess 
fe mh AuthConfig 
状态 扩展 (E) 
模块 mod authn dbm 
Sets the type of database file that is used to store the passwords. The default database type 


is determined at compile time. The availability of other types of database files also depends 
on compile-time settings. 


It is crucial that whatever program you use to create your password files is configured to use 
the same type of database. 


AuthDBMUsSserFile 1&4 


Sets the name of a database file containing the list of users and 


ET H 

说 明 passwords for authentication 
语法 AuthDBMUserFile file-path 

directory, .htaccess 

覆盖 


AuthConfig 


项 
状态 | 扩展 (E) 
模块 | mod authn dbm 


AuthDBMUserFile directive sets the name of a DBM file containing the list of users and 
passwords for user authentication. File-path is the absolute path to the user file. 


The user file is keyed on the username. The value for a user is the encrypted password, 
optionally followed by a colon and arbitrary data. The colon and the data following it will be 
ignored by the server. 


安全 


Make sure that the AuthDBMUserFile is stored outside the document tree of the web-server; 
do not put it in the directory that it protects. Otherwise, clients will be able to download the 


AuthDBMUserFile . 


Important compatibility note: The implementation of dbmopen in the apache modules reads 
the string length of the hashed values from the DBM data structures, rather than relying 
upon the string being NULL-appended. Some applications, such as the Netscape web 
server, rely upon the string being NULL-appended, so if you are having trouble using DBM 
files interchangeably between applications this may be a part of the problem. 


A perl script called dbmmanage is included with Apache. This program can be used to create 
and update DBM format password files for use with this module. 


Apache 模 块 mod authn default 


说 明 在 未 正确 配置 认证 模块 的 情况 下 简单 拒绝 一 切 认 证 信息 
状态 基本 (B) 
模块 名 authn default module 
源 文件 mod authn default.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


该 模块 是 一 个 失败 补救 (fallback) 模 块 ， 它 在 未 正确 配置 认证 模块 (比如 mod auth basic ) 的 情况 
下 简单 拒绝 一 切 认 证 信息 。 


AuthDefaultAuthoritative 18 4 


说 明 指定 是 否 将 认证 操作 交 由 更 底层 的 模块 来 处 理 
us AuthDefaultAuthoritative On&#124;0ff 
默认 值 AuthDefaultAuthoritative On 
作用 域 directory, .htaccess 
Em AuthConfig 
状态 基本 (B) 
模块 mod authn default 


JẸ AuthDefaultAuthoritative 明确 设置 为 ”off 将 允许 将 认证 操作 交 由 更 底层 的 
(在 modules.c 文件 中 定义 的 ) 模 块 来 处 理 。 


通常 并 不 存在 更 底层 的 模块 ， 因 为 mod authn default 已 经 被 定义 为 非常 底层 的 模块 了 。 因 此 
最 好 将 AuthpefaultAuthoritative 保持 其 默认 值 ( on )。 


Apache 模 块 mod authn file 


说 明 使 用 纯 文本 文件 为 认证 提供 支持 
状态 基本 (B) 
模块 名 authn_file_module 
源 文 件 mod authn file.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


该 模块 为 认证 前 端 ( mod auth digest 和 mod auth basic ) 使 用 纯 文本 文件 进行 用 户 认证 提供 支 
WF. mod_authn_dbm 模块 也 提供 类 似 的 功能 。 


使 用 mod auth basic 或 mod auth digest 的 时 候 ， 可 以 通过 
在 AuthBasicProvider 或 AuthDigestProvider 指令 中 使 用 file 值 调 用 该 模块 。 


AuthUserFile 1&4 


说 明 设 定 一 个 含有 认证 使 用 的 用 户 名 /密码 列表 的 纯 文本 文件 
ack AuthUserFile file-path 
作用 域 directory, .htaccess 
覆盖 项 AuthConfig 
状态 基本 (B) 
模块 mod authn file 


AuthUserFile 指令 设 定 一 个 纯 文 本 文件 的 名 称 ， 其 中 包含 用 于 认证 的 用 户 名 /密码 的 列表 ， 
File-path 是 该 文件 的 路 径 。 如 果 不 是 绝对 路 径 (也 就 是 说 ， 如 果 不 是 以 斜 枉 开 始 的 )， 则 是 相对 
于 serverRoot 的 相对 路 径 。 

用 户 文件 的 每 一 行 包 含 一 个 用 户 名 ， 后 跟 一 个 冒号 ， 再 跟 一 个 加 密 过 的 密码 。 如 果 文 件 中 含 
有 重复 的 用 户 名 ， mod_authn_file 模块 会 用 排 在 最 前 面 的 那 行 定义 来 验证 该 用 户 的 密码 。 


在 二 进 制 文件 安装 包 中 附带 的 (或 者 在 ”src/support "中 ) 命 令 行 工 具 htpasswd 可 以 用 来 维护 仅 
用 于 HTTP 基 本 认证 的 密码 文件 。 参 阅 手 册页 面 以 获得 更 详细 的 说 明 。 


以 一 个 初始 帐户 username 创建 一 个 密码 文件 Filename 。 它 会 提示 输入 密码 : 


htpasswd -c Filename username 


增加 或 修改 密码 文件 Filename 中 的 帐号 username2 
htpasswd Filename username2 


注意 : 搜索 很 大 的 文本 文件 是 非常 慢 的 ; 应 该 使 用 AuthpBMuserFile 来 蔡 代 它 。 


如 果 使 用 HTTP 摘 要 认证 ， 就 不 能 使 用 htpasswd 工具 ， 而 要 使 用 ntdigest 工具 。 注 意 : 不 能 
在 同一 个 文件 中 同时 包含 用 于 基本 认证 和 摘要 认证 的 用 户 数据 。 


安全 


必须 确保 AuthUserFile 文件 存放 在 WEB 服 务 器 目录 之 外 ， 生 万 不 要 放 在 它 所 保护 的 目录 中 ， 
否则 可 能 会 被 客户 端 下 载 。 


Apache 模 块 mod authnz ldap 


说 明 允许 使 用 一 个 LDAP 目 录 存 储 用 户 名 和 密码 数据 库 来 执行 基本 认证 和 授权 
状态 扩展 (E) 
模块 名 ， authnz ldap_module 
源 文件 | mod authnz ldap.c 
FAM 478 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


This module provides authentication front-ends such as mod auth basic to authenticate 
users through an ldap directory. 


mod authnz ldap Supports the following features: 


e Known to support the OpenLDAP SDK (both 1.x and 2.x), Novell LDAP SDK and the 
iPlanet (Netscape) SDK. 

e Complex authorization policies can be implemented by representing the policy with 
LDAP filters. 

e Uses extensive caching of LDAP operations via mod Idap. 

e Support for LDAP over SSL (requires the Netscape SDK) or TLS (requires the 
OpenLDAP 2.x SDK or Novell LDAP SDK). 


When using mod auth basic , this module is invoked via the authBasicProvider directive 
with the ldap value. 
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Operation 


There are two phases in granting access to a user. The first phase is authentication, in which 
the mod authnz 1dap authentication provider verifies that the user's credentials are valid. 
This is also called the search/bind phase. The second phase is authorization, in which 

mod authnz ldap determines if the authenticated user is allowed access to the resource in 
question. This is also known as the compare phase. 


mod authnz ldap registers both an authn_Idap authentication provider and an authz Idap 
authorization handler. The authn ldap authentication provider can be enabled through the 

AuthBasicProvider directive using the ldap value. The authz_Idap handler extends the 

Require directive's authorization types by adding 1dap-user , ldap-dn 和 1dap-group 
values. 


The Authentication Phase 


During the authentication phase, mod authnz ldap searches for an entry in the directory that 
matches the username that the HTTP client passes. If a single unique match is found, then 

mod authnz ldap attempts to bind to the directory server using the DN of the entry plus the 
password provided by the HTTP client. Because it does a search, then a bind, it is often 
referred to as the search/bind phase. Here are the steps taken during the search/bind 
phase. 


1. Generate a search filter by combining the attribute and filter provided in the 
AuthLDAPURL directive with the username passed by the HTTP client. 
2. Search the directory using the generated filter. If the search does not return exactly one 
entry, deny or decline access. 
3. Fetch the distinguished name of the entry retrieved from the search and attempt to bind 
to the LDAP server using the DN and the password passed by the HTTP client. If the 
bind is unsuccessful, deny or decline access. 


The following directives are used during the search/bind phase 


Specifies the LDAP server, the base DN, the attribute to 


AuthLDAPURL ] : 
use in the search, as well as the extra search filter to use. 
AuthLDAPBindDN An optional DN to bind with during the search phase. 
AuthLDAPBindPassword An optional password to bind with during the search phase. 


The Authorization Phase 


During the authorization phase, mod authnz ldap attempts to determine if the user is 


authorized to access the resource. Many of these checks require mod authnz ldap to do a 


compare operation on the LDAP server. This is why this phase is often referred to as the 


compare phase. mod authnz ldap accepts the following Require directives to determine if 


the credentials are acceptable: 


Grant access if there is a require 1dap-user directive, and the username in the 
directive matches the username passed by the client. 

Grant access if there isa require 1dap-dn directive, and the DN in the directive 
matches the DN fetched from the LDAP directory. 

Grant access if there is a require ldap-group directive, and the DN fetched from the 
LDAP directory (or the username passed by the client) occurs in the LDAP group. 
Grant access if there is a require ldap-attribute directive, and the attribute fetched 
from the LDAP directory matches the given value. 

Grant access if there is a require 1dap-filter directive, and the search filter 
successfully finds a single user object that matches the dn of the authenticated user. 
otherwise, deny or decline access 


Other Require values may also be used which may require loading additional authorization 


modules. 


Grant access if there isa require valid-user directive. (requires mod authz user ) 
Grant access if there is a require group directive, and mod authz groupfile has been 
loaded with the AuthGroupFile directive set. 

others... 


mod authnz ldap Uses the following directives during the compare phase: 


The attribute specified in the URL is used in 
AuthLDAPURL compare operations for the require ldap-user 
operation. 


Determines the behavior of the require ldap-dn 


AuthLDAPCompareDNOnServer ; . 
directive. 


Determines the attribute to use for comparisons in the 


AuthLDAPGroupAttribute ; à 
require ldap-group directive. 


Specifies whether to use the user DN or the username 
AuthLDAPGroupAttributeIsDN when doing comparisons for the require ldap-group 
directive. 


The require Directives 


Apache's Require directives are used during the authorization phase to ensure that a user 

is allowed to access a resource. mod authnz ldap extends the authorization types with 
ldap-user , ldap-dn , ldap-group , ldap-attribute 和 l1dap-filter . Other authorization 

types may also be used but may require that additional authorization modules be loaded. 


require valid-user 


If this directive exists, mod authnz ldap grants access to any user that has successfully 
authenticated during the search/bind phase. Requires that mod authz user be loaded and 
that the AuthzLDAPAuthoritative directive be set to off. 


require Idap-user 


require ldap-user directive specifies what usernames can access the resource. Once 

mod authnz ldap has retrieved a unique DN from the directory, it does an LDAP compare 
operation using the username specified in the require ldap-user to see if that username is 
part of the just-fetched LDAP entry. Multiple users can be granted access by putting multiple 
usernames on the line, separated with spaces. If a username has a space in it, then it must 
be surrounded with double quotes. Multiple users can also be granted access by using 
multiple require ldap-user directives, with one user per line. For example, with a 
AuthLDAPURL Of ldap://ldap/o=Airius?cn (i.e., cn is used for searches), the following 
require directives could be used to restrict access: 


require ldap-user "Barbara Jenson" 
require ldap-user "Fred User" 


require ldap-user "Joe Manager" 


Because of the way that mod authnz 1dap handles this directive, Barbara Jenson could sign 
on as Barbara Jenson, Babs Jenson or any other cn that she has in her LDAP entry. Only 
the single require ldap-user line is needed to support all values of the attribute in the 
user's entry. 


If the uid attribute was used instead of the cn attribute in the URL above, the above three 
lines could be condensed to 


require ldap-user bjenson fuser jmanager 


require Idap-group 


This directive specifies an LDAP group whose members are allowed access. It takes the 
distinguished name of the LDAP group. Note: Do not surround the group name with quotes. 
For example, assume that the following entry existed in the LDAP directory: 


dn: cn=Administrators, o-Airius 
objectClass: groupOfUniqueNames 
uniqueMember: cn-Barbara Jenson, o-Airius 


uniqueMember: cn-Fred User, o-Airius 


The following directive would grant access to both Fred and Barbara: 


require ldap-group cn-Administrators, o-Airius 


Behavior of this directive is modified by the 
AuthLDAPGroupAttribute 和 AuthLDAPGroupAttributeIsDN directives. 


require Idap-dn 


require ldap-dn directive allows the administrator to grant access based on distinguished 
names. It specifies a DN that must match for access to be granted. If the distinguished name 
that was retrieved from the directory server matches the distinguished name in the 

require ldap-dn , then authorization is granted. Note: do not surround the distinguished 
name with quotes. 


The following directive would grant access to a specific DN: 


require ldap-dn cn=Barbara Jenson, o=Airius 


Behavior of this directive is modified by the authLDAPCompareDNonServer directive. 


require Idap-attribute 


require ldap-attribute directive allows the administrator to grant access based on 
attributes of the authenticated user in the LDAP directory. If the attribute in the directory 
matches the value given in the configuration, access is granted. 


The following directive would grant access to anyone with the attribute employeeType = 
active 


require ldap-attribute employeeType=active 


Multiple attribute/value pairs can be specified on the same line separated by spaces or they 
can be specified in multiple require ldap-attribute directives. The effect of listing multiple 
attribute/values pairs is an OR operation. Access will be granted if any of the listed attribute 
values match the value of the corresponding attribute in the user object. If the value of the 
attribute contains a space, only the value must be within double quotes. 


The following directive would grant access to anyone with the city attribute equal to "San 
Jose" or status equal to "Active" 


require ldap-attribute city="San Jose" status-active 


require Idap-filter 


require ldap-filter directive allows the administrator to grant access based on a complex 
LDAP search filter. If the dn returned by the filter search matches the authenticated user dn, 
access is granted. 


The following directive would grant access to anyone having a cell phone and is in the 
marketing department 


require ldap-filter &(cell-*)(department-marketing) 


The difference between the require ldap-filter directive and the require ldap-attribute 
directive is that 1dap-filter performs a search operation on the LDAP directory using the 
specified search filter rather than a simple attribute comparison. If a simple attribute 
comparison is all that is required, the comparison operation performed by 1dap-attribute 
will be faster than the search operation used by 1dap-filter especially within a large 
directory. 


Examples 


Grant access to anyone who exists in the LDAP directory, using their UID for searches. 


AuthLDAPURL ldap://ldapi.airius.com:389/ou-People, o-Airius?uid?sub?(objectClass-*) 


require valid-user 
‘| uin gl 


The next example is the same as above; but with the fields that have useful defaults 








omitted. Also, note the use of a redundant LDAP server. 


AuthLDAPURL ldap://ldapi.airius.com ldap2.airius.com/ou-People, o-Airius 


require valid-user 


The next example is similar to the previous one, but it uses the common name instead 
of the UID. Note that this could be problematical if multiple people in the directory share 
the same cn , because a search on cn must return exactly one entry. That's why this 
approach is not recommended: it's a better idea to choose an attribute that is 
guaranteed unique in your directory, such as vid . 


AuthLDAPURL ldap://ldap.airius.com/ou-People, o-Airius?cn 


require valid-user 


Grant access to anybody in the Administrators group. The users must authenticate 
using their UID. 


AuthLDAPURL ldap://ldap.airius.com/o-Airius?uid 


require ldap-group cn-Administrators, o-Airius 


The next example assumes that everyone at Airius who carries an alphanumeric pager 
will have an LDAP attribute of qpagePagerID . The example will grant access only to 
people (authenticated via their UID) who have alphanumeric pagers: 


AuthLDAPURL ldap://ldap.airius.com/o-Airius?uid??(qpagePagerID-*) 


require valid-user 


The next example demonstrates the power of using filters to accomplish complicated 
administrative requirements. Without filters, it would have been necessary to create a 
new LDAP group and ensure that the group's members remain synchronized with the 
pager users. This becomes trivial with filters. The goal is to grant access to anyone who 
has a pager, plus grant access to Joe Manager, who doesn't have a pager, but does 
need to access the same resource: 


AuthLDAPURL ldap://ldap.airius.com/o=Airius?uid??( | (qpagePager ID=* ) (uid=jmanager ) ) 


require valid-user 


This last may look confusing at first, so it helps to evaluate what the search filter will 
look like based on who connects, as shown below. If Fred User connects as fuser , the 
filter would look like 


(&( | (qpagePager ID=* ) (uid=jmanager ) ) (uid=fuser ) ) 
The above search will only succeed if fuser has a pager. When Joe Manager connects 


as jmanager, the filter looks like 


(&( | (qpagePager ID=* ) (uid=jmanager ) ) (uid=jmanager ) ) 


The above search will succeed whether jmanager has a pager or not. 


Using TLS 
To use TLS, see the mod 1dap directives LpAPTrustedClientCert , 


LDAPTrustedGlobalCert 和 LDAPTrustedMode 


An optional second parameter can be added to the AuthLDAPURL to override the default 
connection type set by LpAPTrustedMode . This will allow the connection established by an 
Idap:// Url to be upgraded to a secure connection on the same port. 


Using SSL 


To use SSL, see the mod 1dap directives LpAPTrustedClientCert , 


LDAPTrustedGlobalCert 和 LDAPTrustedMode 


To specify a secure LDAP server, use /daps://in the AuthLDAPURL directive, instead of 
Idap:/. 


Using Microsoft FrontPage with mod authnz ldap 


Normally, FrontPage uses FrontPage-web-specific user/group files (i.e., the 
mod authn file 和 mod authz groupfile modules) to handle all authentication. Unfortunately, 
it is not possible to just change to LDAP authentication by adding the proper directives, 


because it will break the Permissions forms in the FrontPage client, which attempt to modify 
the standard text-based authorization files. 


Once a FrontPage web has been created, adding LDAP authentication to it is a matter of 
adding the following directives to every .htaccess file that gets created in the web 


AuthLDAPURL "the url" 
AuthzLDAPAuthoritative off 
AuthGroupFile _mygroupfile_ 
require group mygroupfile 


AuthzLDAPAuthoritative must be off to allow mod_authnz_ldap to decline group 
authentication so that Apache will fall back to file authentication for checking group 
membership. This allows the FrontPage-managed group file to be used. 


How It Works 


FrontPage restricts access to a web by adding the require valid-user directive to the 

.htaccess files. The require valid-user directive will succeed for any user who is valid as 
far as LDAP is concerned. This means that anybody who has an entry in the LDAP directory 
is considered a valid user, whereas FrontPage considers only those people in the local user 
file to be valid. By substituting the Idap-group with group file authorization, Apache is allowed 
to consult the local user file (which is managed by FrontPage) - instead of LDAP - when 
handling authorizing the user. 


Once directives have been added as specified above, FrontPage users will be able to 
perform all management operations from the FrontPage client. 


Caveats 


e When choosing the LDAP URL, the attribute to use for authentication should be 
something that will also be valid for putting into a mod authn file user file. The user ID 
is ideal for this. 

e When adding users via FrontPage, FrontPage administrators should choose usernames 
that already exist in the LDAP directory (for obvious reasons). Also, the password that 
the administrator enters into the form is ignored, since Apache will actually be 
authenticating against the password in the LDAP database, and not against the 
password in the local user file. This could cause confusion for web administrators. 

e Apache must be compiled with mod auth basic , 

mod authn file 和 mod authz groupfile in order to use FrontPage support. This is 
because Apache will still use the mod authz groupfile group file for determine the 
extent of a user's access to the FrontPage web. 

e The directives must be put in the .hntaccess files. Attempting to put them inside 


«Location» SX «Directory» directives won't work. This is because mod authnz ldap 
has to be able to grab the authGroupFile directive that is found in FrontPage 

.htaccess files so that it knows where to look for the valid user list. If the 

mod authnz ldap directives aren't in the same .htaccess file as the FrontPage 
directives, then the hack won't work, because mod authnz ldap Will never get a chance 
to process the .htaccess file, and won't be able to find the FrontPage-managed user 
file. 


AuthLDAPBindDN 指令 


说 明 Optional DN to use in binding to the LDAP server 
语法 AuthLDAPBindDN _distinguished-name_ 
作用 域 directory, .htaccess 
Emi AuthConfig 
状态 扩展 (E) 
模块 mod authnz ldap 


An optional DN used to bind to the server when searching for entries. If not provided, 
mod authnz ldap will use an anonymous bind. 


AuthLDAPBindPassword 1&4 


说 明 Password used in conjuction with the bind DN 
语法 AuthLDAPBindPassword password . 
作用 域 directory, .htaccess 
覆盖 项 AuthConfig 
状态 扩展 (E) 
模块 mod authnz ldap 


A bind password to use in conjunction with the bind DN. Note that the bind password is 
probably sensitive data, and should be properly protected. You should only use the 
AuthLDAPBindDN 和 AuthLDAPBindPassword if you absolutely need them to search the directory. 


AuthLDAPCharsetConfig 1847 


说 明 Language to charset conversion configuration file 


语法 AuthLDAPCharsetConfig | file-path 
作用 域 server config 

状态 扩展 (E) 

模块 mod authnz ldap 


AuthLDAPCharsetConfig directive sets the location of the language to charset conversion 
configuration file. File-path is relative to the serverRoot . This file specifies the list of 
language extensions to character sets. Most administrators use the provided charset.conv 
file, which associates common language extensions to character sets. 


The file contains lines in the following format: 


«var class="calibre40">Language-Extension</var> «var class="calibre40">charset</var> [<va 





The case of the extension does not matter. Blank lines, and lines beginning with a hash 
character ( # ) are ignored. 


AuthLDAPCompareDNOnServer 1&4 


36 BB Use the LDAP server to compare the DNs 
语法 AuthLDAPCompareDNOnServer on&#124; of f 
默认 值 AuthLDAPCompareDNOnServer on 
作用 域 directory, .htaccess 
fe mm i AuthConfig 
状态 扩展 (E) 
模块 mod authnz ldap 


When set, mod authnz 1dap Will use the LDAP server to compare the DNs. This is the only 
foolproof way to compare DNs. mod authnz ldap Will search the directory for the DN 
specified with the require dn directive, then, retrieve the DN and compare it with the DN 
retrieved from the user entry. If this directive is not set, mod authnz 1dap simply does a 
string comparison. It is possible to get false negatives with this approach, but it is much 
faster. Note the mod 1dap cache can speed up DN comparison in most situations. 


AuthLDAPDereferenceAliases 184 


说 明 
语法 
默认 值 
作用 域 
覆盖 项 
状态 


模块 


When will the module de-reference aliases 


AuthLDAPDereferenceAliases never&#124;searching&#124;finding&#124;always 
AuthLDAPDereferenceAliases Always 

directory, .htaccess 

AuthConfig 

扩展 (E) 


mod authnz ldap 


This directive specifies when mod authnz 1dap will de-reference aliases during LDAP 


operations. The default is always . 


AuthLDAPGroupAttribute 184 


说 明 


语法 
OF FB 
覆盖 项 
状态 


模块 


LDAP attributes used to check for group membership 
AuthLDAPGroupAttribute _attribute_ 
directory, .htaccess 
AuthConfig 
扩展 (E) 


mod authnz ldap 


This directive specifies which LDAP attributes are used to check for group membership. 
Multiple attributes can be used by specifying this directive multiple times. If not specified, 


then mod authnz ldap uses the member 和 uniquemember attributes. 


AuthLDAPGroupAttributelsDN 184 


Use the DN of the client username when checking for group 


Y H 

说 明 membership 
语法 AuthLDAPGroupAttributeIsDN on&#124; of f 
默认 AuthLDAPGroupAttributeIsDN on 

值 
作用 directory, .htaccess 
域 

覆盖 : 

m AuthConfig 

状态 扩展 (E) 

模块 mod authnz ldap 


When set on , this directive says to use the distinguished name of the client username 
when checking for group membership. Otherwise, the username will be used. For example, 
assume that the client sent the username bjenson , which corresponds to the LDAP DN 
cn-Babs Jenson, o-Airius . If this directive is set, mod authnz 1dap will check if the group 
has cn-Babs Jenson, o-Airius as a member. If this directive is not set, then 
mod authnz ldap Will check if the group has bjenson as a member. 


AuthLDAPRemoteUserlsDN 1&4: 


Use the DN of the client username to set the REMOTE USER 


3X BH . : 
environment variable 


语法 AuthLDAPRemoteUserIsDN on&#124; off 


默认 
值 


作用 


域 directory, .htaccess 


AuthLDAPRemoteUserIsDN off 


Es 


项 
状态 a EE) 


模块 mod authnz Idap 


AuthConfig 


If this directive is set to on, the value of the REMoTE_USER environment variable will be set to 
the full distinguished name of the authenticated user, rather than just the username that was 
passed by the client. It is turned off by default. 


AuthLDAPUrI 指令 


说 明 URL specifying the LDAP search parameters 


语法 AuthLDAPUrl url [NONE&#124;SSL&#124;TLS&#124;STARTTLS] _ 
作用 域 directory, .htaccess 

fem hl AuthConfig 

状态 扩展 (E) 

模块 mod authnz ldap 


An RFC 2255 URL which specifies the LDAP search parameters to use. The syntax of the 
URL is 


ldap://host:port/basedn?attribute?scope?filter 


Idap 


For regular ldap, use the string ldap . For secure LDAP, use 1daps instead. Secure LDAP 
is only available if Apache was linked to an LDAP library with SSL support. 


host:port 


The name/port of the Idap server (defaults to localhost:389 for ldap , and localhost :636 
for 1daps ). To specify multiple, redundant LDAP servers, just list all servers, separated by 
spaces. mod_authnz_ldap will try connecting to each server in turn, until it makes a 
successful connection. 


Once a connection has been made to a server, that connection remains active for the life of 
the httpd process, or until the LDAP server goes down. 


If the LDAP server goes down and breaks an existing connection, mod_authnz_ldap Will 
attempt to re-connect, starting with the primary server, and trying each redundant server in 
turn. Note that this is different than a true round-robin search. 


basedn 


The DN of the branch of the directory where all searches should start from. At the very least, 
this must be the top of your directory tree, but could also specify a subtree in the directory. 


attribute 


The attribute to search for. Although RFC 2255 allows a comma-separated list of attributes, 
only the first attribute will be used, no matter how many are provided. If no attributes are 
provided, the default is to use uid . It's a good idea to choose an attribute that will be 
unique across all entries in the subtree you will be using. 


scope 


The scope of the search. Can be either one 或 sub . Note that a scope of base is also 
supported by RFC 2255, but is not supported by this module. If the scope is not provided, or 
if base scope is specified, the default is to use a scope of sub . 


filter 


A valid LDAP search filter. If not provided, defaults to (objectclass-*) , which will search for 
all objects in the tree. Filters are limited to approximately 8000 characters (the definition of 

MAX STRING LEN in the Apache source code). This should be than sufficient for any 
application. 


When doing searches, the attribute, filter and username passed by the HTTP client are 
combined to create a search filter that looks like (&( filter )( attribute = username )). 


For example, consider an URL of 1dap://1dap.airius.com/o-Airius?cn?sub?(posixid-*) . 
When a client attempts to connect using a username of Babs Jenson , the resulting search 
filter will be (&(posixid-*)(cn-Babs Jenson)) 


An optional parameter can be added to allow the LDAP Url to override the connection type. 
This parameter can be one of the following: 


NONE 


Establish an unsecure connection on the default LDAP port. This is the same as 14dap:// 
on port 389. 


SSL 


Establish a secure connection on the default secure LDAP port. This is the same as 
ldaps:// 


TLS | STARTTLS 


Establish an upgraded secure connection on the default LDAP port. This connection will be 
initiated on port 389 by default and then upgraded to a secure connection on the same port. 


See above for examples of AuthLDAPURL URLs. 


AuthzLDAPAuthoritative 1&4; 


说 明 Prevent other authentication modules from authenticating the user if this 


one fails 
语法 AuthzLDAPAuthoritative on&£124;off 
默认 AuthzLDAPAuthoritative on 
值 
directory, .htaccess 


32 == 
Sm AuthConfig 


项 
状态 扩展 (E) 
模块 mod authnz ldap 


Setto off ifthis module should let other authentication modules attempt to authenticate 
the user, should authentication with this module fail. Control is only passed on to lower 
modules if there is no DN or rule that matches the supplied user name (as passed by the 


client). 


Apache 模 块 mod authz dbm 


说 明 


状态 

模块 名 
源 文件 
兼容 性 


概述 


使 用 DBM 数 据 库 文件 为 组 提供 授权 支持 
扩展 (E) 
authz dbm module 


mod authz dbm.c 


1x TE Apache 2.1 及 以 后 的 版 本 中 可 用 


This module provides authorization capabilities so that authenticated users can be allowed 
or denied access to portions of the web site by group membership. Similar functionality is 


provided by mod authz groupfile . 


AuthDBMGroupFile 184; 


说 明 
语法 


作用 
域 


ES 
项 


状态 


模块 


Sets the name of the database file containing the list of user groups for 
authorization 


AuthDBMGroupFile file-path 


directory, .htaccess 


AuthConfig 


扩展 (E) 


mod authz dbm 


AuthDBMGroupFile directive sets the name of a DBM file containing the list of user groups for 
user authorization. File-path is the absolute path to the group file. 


The group file is keyed on the username. The value for a user is a comma-separated list of 
the groups to which the users belongs. There must be no whitespace within the value, and it 


must never contain any colons. 


安全 


Make sure that the AuthpBMGroupFile is stored outside the document tree of the web-server. 
Do not put it in the directory that it protects. Otherwise, clients will be able to download the 
AuthDBMGroupFile unless otherwise protected. 


Combining Group and Password DBM files: In some cases it is easier to manage a single 
database which contains both the password and group details for each user. This simplifies 
any support programs that need to be written: they now only have to deal with writing to and 
locking a single DBM file. This can be accomplished by first setting the group and password 
files to point to the same DBM: 


AuthDBMGroupFile /www/userbase 


AuthDBMUserFile /www/userbase 


The key for the single DBM is the username. The value consists of 


Encrypted Password : List of Groups [ : (ignored) ] 


The password section contains the encrypted password as before. This is followed by a 
colon and the comma separated list of groups. Other data may optionally be left in the DBM 
file after another colon; it is ignored by the authorization module. This is what 
www.telescope.org uses for its combined password and group database. 


AuthzDBMAuthoritative 指令 


3€ BB Sets whether authorization will be passed on to lower level modules 
语法 AuthzDBMAuthoritative On&#124; Off 
默认 值 AuthzDBMAuthoritative On 


作用 域 ^ directory, .htaccess 
覆盖 项 AuthConfig 
状态 扩展 (E) 


模块 mod_authz_dbm 


Setting the AuthzDBMAuthoritative directive explicitly to off allows group authorization to 
be passed on to lower level modules (as defined in the modules.c file) if there is no group 
found for the the supplied userlD. If there are any groups specified, the usual checks will be 
applied and a failure will give an Authentication Required reply. 


So if a userlD appears in the database of more than one module; or if a valid Require 
directive applies to more than one module; then the first module will verify the credentials; 
and no access is passed on; regardless of the AuthBasicAuthoritative setting. 


A common use for this is in conjunction with one of the auth providers; such as 

mod authn dbm 5X mod authn file . Whereas this DBM module supplies the bulk of the user 
credential checking; a few (administrator) related accesses fall through to a lower level with 
a well protected .htpasswd file. 


By default, control is not passed on and an unknown group will result in an Authentication 
Required reply. Not setting it thus keeps the system secure and forces an NCSA compliant 
behaviour. 


rA 
RE 
Do consider the implications of allowing a user to allow fall-through in his .htaccess file; and 


verify that this is really what you want; Generally it is easier to just secure a single 
.htpasswd file, than it is to secure a database which might have more access interfaces. 


AuthzDBMType 18 4 


说 明 Sets the type of database file that is used to store list of user groups 
语法 AuthzDBMType default&#124; SDBM&#124 ; GDBM&#124;NDBM&#124;DB 
默认 值 AuthzDBMType default 


作用 域 ^ directory, .htaccess 
fem  AuthConfig 
状态 扩展 (E) 


模块 mod authz dbm 


Sets the type of database file that is used to store the list of user groups. The default 
database type is determined at compile time. The availability of other types of database files 
also depends on compile-time settings. 


It is crucial that whatever program you use to create your group files is configured to use the 
same type of database. 


Apache 模 块 mod authz default 


说 明 在 未 正确 配置 授权 支持 模块 的 情况 下 简单 拒绝 一 切 授权 请 求 
状态 基本 (B) 
模块 名 authz default module 
源 文件 mod_authz_default.c 


兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


该 模块 是 失败 补救 (fallback) 模 块 ， 它 在 未 正确 配置 授权 支持 模块 ( 比 
如 mod authz user 5X mod authz groupfile ) 的 情况 下 简单 拒绝 一 切 授权 请 求 。 


AuthzDefaultAuthoritative #24 


说 明 指定 是 否 将 授权 操作 交 由 更 底层 的 模块 来 处 理 
us AuthzDefaultAuthoritative On&#124; Off 
默认 值 AuthzDefaultAuthoritative On 
作用 域 directory, .htaccess 
Em AuthConfig 
状态 基本 (B) 
模块 mod authz default 


将 AuthzDefaultAuthoritative 明确 设置 为 off 将 允许 将 授权 操作 交 由 更 底层 的 
(在 modules.c 文件 中 定义 的 ) 模 块 来 处 理 。 


通常 并 不 存在 更 底层 的 模块 ， 因 为 mod authz default 已 经 被 定义 为 非常 底层 的 模块 了 。 因 此 
最 好 将 AuthzpefaultAuthoritative 保持 其 默认 值 ( on )。 


Apache 模 块 mod authz groupfile 


说 明 使 用 纯 文本 文件 为 组 提供 授权 支持 
状态 基本 (B) 
模块 名 authz groupfile module 
源 文件 mod authz groupfile.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


该 模块 可 以 根据 经 过 认证 的 用 户 是 否 属于 特定 组 来 允许 或 拒绝 访问 受 保护 的 区 
lk. mod authz dbm 模块 也 提供 了 类 似 的 功能 。 


AuthGroupFile 1847 


说 明 设 定 一 个 包含 用 于 执行 用 户 认 证 的 用 户 组 列表 的 纯 文 本 文件 
语法 AuthGroupFile file-path 
作用 域 directory, .htaccess 
fem i AuthConfig 
TAS 基本 (B) 
模块 mod authz groupfile 


AuthGroupFile 指令 设 定 一 个 文本 文件 的 名 称 ， 这 个 纯 文 本 文件 包含 用 于 执行 用 户 认 证 的 用 户 
组 列表 。File-path 是 存放 用 户 组 列表 文件 的 路 径 。 如 果 不 是 绝对 路 径 ， 则 是 相对 
于 serverRoot 的 相对 路 径 。 


这 个 用 户 组 列表 文件 每 行 包含 一 个 用 户 组 名 称 ， 后 跟 一 个 冒号 ， 青 跟 该 组 用 户 的 用 户 名 称 ， 
用 户 名 之 间 以 空格 分 隔 。 


示例 : 


mygroup: bob joe anne 


注意 : 搜索 很 大 的 文本 文件 是 非常 慢 的 ;，AuthpBM6roupFile 提供 了 更 出 色 的 性 能 。 


安全 


必须 确保 AuthGroupFile 文件 存放 在 WEB 服 务 器 所 在 目 录 之 外 ， 千 万 不 要 放 在 它 所 保护 的 目 
录 中 ， 否 则 可 能 会 被 客户 端 下 载 。 


AuthzGroupFileAuthoritative 18 47 


说 明 指定 是 否 将 授权 操作 交 由 更 底层 的 模块 来 处 理 
语法 AuthzGroupFileAuthoritative On&#124;Off 
默认 值 AuthzGroupFileAuthoritative On 
作用 域 directory, .htaccess 
Emi AuthConfig 
状态 基本 (B) 
模块 mod_authz_groupfile 


AN SRY AuthzGroupFileAuthoritative 明确 设置 为 off ， 那 么 将 允许 在 所 提供 的 userID( 用 户 
名 ) 无 法 匹配 任何 一 个 组 的 情况 下 ， 将 授权 操作 交 由 更 底层 的 (在 modules.c 文件 中 定义 的 ) 模 
块 来 处 理 。 


默认 情况 下 ， 不 会 传递 控制 权 ， 而 是 返回 一 个 要 求 认证 的 应 答 。 这 样 做 是 为 了 保持 系统 更 加 
安全 并 且 符 合 NCSA 要 求 的 标准 。 
安全 


务必 仔细 查看 是 否 人 允许 你 的 用 户 在 .htaccess 文件 中 修改 这 个 指令 ， 并 确认 这 的 确 是 你 想 要 
的 。 仅 仅 看 管 一 个 .htpasswd 文件 很 容易 ， 但 是 看 管 一 大 堆 文 件 却 很 困难 。 


Apache 模 块 mod authz host 


说 明 提供 基于 主机 名 、IP 地 址 、 请 求 特征 的 访问 控制 
状态 基本 (B) 
模块 名 authz_host_module 
源 文 件 mod_authz_host.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


mod_authz_host 提供 的 指使 用 在 «Directory» , «Files» , «Location» Er, 也 用 

于 .htaccess 文件 中 控制 对 服务 器 特定 部 分 的 访问 。 只 要 能 在 环境 变量 中 捕获 到 主机 名 、IP 地 
址 或 其 他 的 客户 端 请 求 特征 ， 就 可 以 基于 这 些 特征 对 访问 进行 控制 。 Allow 和 Deny 指令 用 于 
指出 允许 哪些 客户 及 不 允许 哪些 客户 访问 服务 器 ， 而 order 指令 设置 默认 的 访问 状态 并 配 

E Allow 和 peny 指使 怎样 相互 作用 。 


基于 主机 的 访问 控制 和 基于 口令 的 身份 验证 两 套 机 制 可 以 同时 实现 。 在 这 种 情况 

T, satisfy 指令 用 来 决定 两 套 机 制 如 何 相 互 作 用 。 

一 般 来 说 ， 访 问 控制 指令 适用 于 所 有 的 访问 方法 ( cet, put, post 等 )。 在 多 数 情 况 下 这 是 
一 个 被 期 望 的 特性 。 但 是 ， 只 限制 某 些 方法 而 对 其 他 方法 不 加 限制 也 是 可 能 的 : 通过 把 指令 
放 到 一 个 «Limit» 段 中 即 可 。 


Allow 指 兮 


us 控制 哪些 主机 能 够 访问 服务 器 的 该 区 域 


Allow from all&#124;host&#124; env=env-variable [host&#124;env=env-variable] ... 


directory, .htaccess 


ignc 


Limit 


X BH dd 


基本 (B) 


eh SE 


SE xi 


mod authz host 
Allow 指令 控制 哪些 主机 可 以 访问 服务 器 的 该 区 域 。 可 以 根据 主机 名 、IP 地 址 、 IP 地 址 范围 
或 其 他 环境 变量 中 捕获 的 客户 端 请 求 特性 进行 控制 。 


这 个 指令 的 第 一 个 参数 总 是 " from "， 随 后 的 参数 可 以 有 三 种 不 同形 式 : 如 果 指 
定 " Allow from all ", 则 人 允许 所 有 主机 访 问 ， 按照 下 述 Deny 和 order 指使 的 配置 。 若 要 只 人 允 
许 特定 的 主机 或 主机 群 访问 服务 器 ，host 可 以 用 下 面 任何 一 种 格式 来 指定 : 


一 个 (部 分 ) 域 名 


示例 : 


Allow from apache.org 


Allow from .net example.edu 


主机 名 和 与 给 定 字符 串 匹 配 或 者 以 给 定 字符 串 结尾 的 主机 允许 访问 。 只 有 完整 的 名 字 组 成 部 分 
才 被 匹配 ， 因 此 上 述 例子 将 匹配 foo.apache.org 但 不 能 匹配 fooapache.org 。 这 样 的 配置 将 
导致 Apache 不 管 HostnameLookups 指令 是 如 何 设置 的 ， 对 一 个 对 客户 IP 地 址 都 要 执行 两 次 
DNS 查询 : 一 次 正 查 询 保 证 IP 没 有 伪造 ， 一 次 反 查 询 保证 主机 名 没有 伪造 。 只 有 两 次 查询 的 
结果 都 吻合 ， 并 且 主 机 名 能 够 被 匹配 ， 访 问 才 被 允许 。 


完整 的 IP 地 址 


示例 : 


Allow from 10.1.2.3 


Allow from 192.168.1.104 192.168.1.205 


允许 拥有 这 些 IP 地 址 的 主机 进行 访问 。 


部 分 IP 地 址 


示例 : 


Allow from 10.1 


Allow from 10 172.20 192.168.2 


IP 地 址 的 开始 1 到 3 个 字 节 ， 用 于 子 网 限制 。 
网 络 / 掩 码 对 


示例 : 


Allow from 10.1.0.0/255.255.0.0 


一 个 网 络 "a.b.c.d" 和 一 个 掩 码 "w.x.y.z"， 用 于 更 精确 的 子 网 限制 。 


网 络 /nnn 无 类 别 域 间 路 由 规格 (CIDR specification) 


示例 : 


Allow from 10.1.0.0/16 


同 前 一 种 情况 相似 ， 除 了 掩 码 由 nnn 个 高 位 字 节 构成 。 
注意 以 上 例子 中 的 后 三 个 匹配 完全 相同 的 一 组 主机 。 


IPv6 地 址 和 IPv6 子 网 可 以 像 下面 这 样 指定 : 


Allow from 2001:db8::a00:20ff:fea7:ccea 


Allow from 2001:db8::a00:20ff :fea7:ccea/10 


Allow 指 今 的 第 三 种 参数 格式 允许 对 服务 器 的 访问 由 环境 变量 的 一 个 扩展 指定 。 指 

定 " Allow from env=env-variable "时 ， 如 果 环 境 变量 env-variable 存 在 则 访问 被 允许 。 使 用 
由 mod_setenvif 提供 的 指 伟 ， 服 务 器 用 一 种 基于 客户 端 请 求 的 弹性 方式 提供 了 设置 环境 变量 
的 能 力 。 因此 ， 这 条 指令 可 以 用 于 允许 基于 像 User-Agent (浏览 器 类 型 )、 Referer 或 其 他 
HTTP 请 求 头 字段 的 访问 。 


示例 : 


SetEnvIf User-Agent ^KnockKnock/2N.0 let me in 
<Directory /docroot> 
Order Deny, Allow 
Deny from all 


Allow from env=let_me_in 
</Directory> 


这 种 情况 下 ， 发 送 以 knockknock/2.0 开头 的 用 户 代理 标示 的 浏览 器 将 被 允许 访问 ， 而 所 有 其 
他 浏览 器 将 被 禁止 访问 。 


Deny 1E $ 
说 控制 哪些 主机 被 禁止 访问 服务 器 


mm Deny from all&#124; host&#124;env=env-variable [host&#124;env=env-variable] ... 


VF 


directory, .htaccess 


i dB 


Limit 


= BH dd 


基本 (B) 


eh SE 


AX- xit 


mod authz host 


这 条 指令 允许 基于 主机 名 、IP 地 址 或 者 环境 变量 限制 对 服务 器 的 访问 。 deny 指令 的 参数 设置 
和 Allow E4555 21H 同 。 


Order 指 兮 


说 明 控制 默认 的 访问 状态 与 Allow 和 peny 指令 生效 的 顺序 


语法 Order ordering 


默认 值 Order Deny,Allow 
作用 域 directory, .htaccess 
覆盖 项 Limit 

状态 基本 (B) 

模块 mod_authz_host 


order 指令 控制 默认 的 访问 状态 与 Allow 和 deny 指令 生效 的 顺序 。Ordering 取 值 范 围 是 以 下 
几 种 范例 之 一 : 

Deny, Allow 

Deny 指令 在 Allow EDAR AADAMA GP. FAA PLB deny 指令 或 者 匹 

Bic Allow 指 倒 的 客户 都 被 允许 访问 。 

Allow, Deny 

Allow 指令 在 Deny 指 合 之 前 被 评估 。 默 认 拒 绝 所 有 访问 。 任 何不 匹配 allow 指令 或 者 匹 

Bc Deny 指 倒 的 客户 都 将 被 禁止 访问 。 

Mutual-failure 

只 有 出 现在 Allow 列表 并 且 不 出 现在 Deny 列表 中 的 主机 才 被 允许 访 问 。 这 种 顺序 

与 " order Allow, Deny "BARAR, TAKA. 

关键 字 只 能 用 逗号 分 隔 ; 它们 之 间 不 能 有 空格 。 注 意 在 所 有 情况 下 每 个 Allow 和 deny 指令 语 
句 都 将 被 评估 。 

在 下 面 的 例子 中 ，apache.org 域 中 所 有 主机 都 允许 访问 ， 而 其 他 任何 主机 的 访问 都 将 被 拒 
绝 。 


Order Deny,Allow 
Deny from all 


Allow from apache.org 


下 面 例子 中 ，apache.org 域 中 所 有 主机 ， 除 了 foo.apache.org 子 域 包含 的 主机 被 拒绝 以 外 ， 其 
他 都 允许 访问 。 而 所 有 不 在 apache.org 域 中 的 主机 都 不 允许 访问 ， 因 为 默认 状态 是 拒绝 对 服 
务 器 的 访问 。 


Order Allow, Deny 
Allow from apache.org 


Deny from foo.apache.org 


另 一 方面 ， 如 果 上 个 例子 中 的 Order 指令 改变 X" Deny, Allow Y 将 允许 所 有 主机 的 访 问 。 这 
是 因为 ， 不 管 配 置 文件 中 指 今 的 实际 顺序 如 何 ， " Allow from apache.org "指令 会 最 后 被 评估 
到 并 覆盖 之 前 的 " peny from foo.apache.org "。 所 有 不 在 apache.org 域 中 的 主机 也 允许 访问 是 
因为 默认 状态 被 改变 到 了 人 允许 。 


即使 没有 伴随 Allow 和 Deny ETD, 一 小 Order 指令 的 存在 会 影响 到 服务 器 上 某 一 个 部 分 


的 访问 ， 这 是 由 于 它 对 默认 访问 状态 的 影响 。 例 如 : 


«Directory /www> 


Order Allow,Deny 
</Directory> 


这 样 将 会 禁止 所 有 对 /www 目录 的 访问 ， 因 为 默认 状态 将 被 设置 为 拒绝 。 
引 倒 只 在 服务 器 配置 的 每 个 段 内 部 控制 访问 指 合 的 处 理 。 这 暗示 着 ， 例 如 ， 一 个 


Order EDR 
f£ «Location» 段 中 出 现 的 Allow 或 Deny 指 邻 总 是 将 会 在 一 个 <Directory> 段 或 


者 .htaccess 文件 中 出 现 的 Allow 或 Deny 指令 之 后 被 评估 ， 而 不 管 order 指令 如 何 设 置 。 要 
了 解 配 置 段落 合并 的 详细 信息 ， 参 见 配置 段 文档 。 


Apache 模 块 mod authz owner 


说 明 基于 文件 的 所 有 者 进行 授权 
状态 扩展 (E) 
模块 名 authz_owner_module 
源 文件 mod authz owner.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


This module authorizes access to flles by comparing the userid used for HTTP 
authentication (the web userid) with the file-system owner or group of the requested file. The 
supplied username and password must be already properly verified by an authentication 
module, such as mod auth basic SX mod auth digest . mod authz owner recognizes two 
arguments for the Require directive, file-owner 和 file-group , as follows: 


file-owner 


The supplied web-username must match the system's name for the owner of the file being 
requested. That is, if the operating system says the requested file is owned by jones , then 
the username used to access it through the web must be jones as well. 


file-group 


The name of the system group that owns the file must be present in a group database, 
which is provided, for example, by mod authz groupfile 5% mod authz dbm , and the web- 
username must be a member of that group. For example, if the operating system says the 
requested file is owned by (system) group accounts , the group accounts must appear in 
the group database and the web-username used in the request must be a member of that 
group. 


If mod authz owner is used in order to authorize a resource that is not actually present in the 
filesystem (i.e. a virtual resource), it will deny the access. 


Particularly it will never authorize content negotiated "MultiViews" resources. 


Configuration Examples 


Require file-owner 


Consider a multi-user system running the Apache Web server, with each user having his or 
her own files in -/public html/private . Assuming that there is a single AuthbBMUserFile 
database that lists all of their web-usernames, and that these usernames match the 
system's usernames that actually own the files on the server, then the following stanza 
would allow only the user himself access to his own files. User jones would not be allowed 
to access files in /home/smith/public html/private unless they were owned by jones 


instead of smith . 


<Directory /home/*/public_html/private> 
AuthType Basic 
AuthName MyPrivateFiles 
AuthBasicProvider dbm 
AuthDBMUserFile /usr/local/apache2/etc/.htdbm-all 
Satisfy All 


Require file-owner 
</Directory> 


Require file-group 


Consider a system similar to the one described above, but with some users that share their 
project files in -/public html/project-foo . The files are owned by the system group foo 
and there is a single AuthDBMGroupFile database that contains all of the web-usernames 
and their group membership, i.e. they must be at least member of a group named foo . So 
if jones 和 smith are both member of the group foo , then both will be authorized to 
access the project-foo directories of each other. 


«Directory /home/*/public html/project-foo» 
AuthType Basic 
AuthName "Project Foo Files" 
AuthBasicProvider dbm 
# combined user/group database 
AuthDBMUserFile  /usr/local/apache2/etc/.htdbm-all 
AuthDBMGroupFile /usr/local/apache2/etc/.htdbm-all 
Satisfy All 


Require file-group 
</Directory> 


AuthzOwnerAuthoritative 1&4 


说 明 
语法 
默认 值 
作用 域 
覆盖 项 
状态 


模块 


Sets whether authorization will be passed on to lower level modules 


AuthzOwnerAuthoritative On&#124; Off 
AuthzOwnerAuthoritative On 
directory, .htaccess 

AuthConfig 

扩展 (E) 


mod authz owner 


Setting the AuthzownerAuthoritative directive explicitly to off allows for user authorization 


to be passed on to lower level modules (as defined in the modules.c files) if: 


e inthe case of file-owner the file-system owner does not match the supplied web- 


username or could not be determined, or 


e inthe case of file-group the file-system group does not contain the supplied web- 


username or could not be determined. 


Note that setting the value to off also allows the combination of 


file-owner 和 file-group , SO access will be allowed if either one or the other (or both) 


match. 


By default, control is not passed on and an authorization failure will result in an 


"Authentication Required" reply. Not setting itto off thus keeps the system secure and 


forces an NCSA compliant behaviour. 


Apache 模 块 mod authz user 


说 明 基于 每 个 用 户 提供 授权 支持 
状态 基本 (B) 
模块 名 authz user module 
源 文件 mod authz user.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 
该 模块 可 以 允许 或 拒绝 经 过 认证 的 用 户 访问 受 保 护 的 区 域 。 mod_authz_user 有 两 种 授权 方式 


(二 选 一 ) : 根据 在 Require user 中 列 出 的 用 户 对 访问 进行 控制 ， 或 者 根 
据 require valid-user 指令 简单 允许 所 有 成 功 通过 认证 的 用 户 进行 访 问 。 


AuthzUserAuthoritative 指 兮 


说 明 指定 是 否 将 授权 操作 交 由 更 底层 的 模块 来 处 理 
EG AuthzUserAuthoritative On&4124;Off 
默认 值 AuthzUserAuthoritative On 
作用 域 directory, .htaccess 
Emi AuthConfig 
状态 基本 (B) 
模块 mod authz user 


HOF AuthzUserAuthoritative 明确 设置 为 off ， 那 么 将 允许 在 所 提供 的 userlD( 用 户 名 ) 无 
法 匹配 任何 一 个 用 户 的 情况 下 ， 将 授权 操作 交 由 更 底层 的 (在 modules.c 文件 中 定义 的 ) 模 块 来 
处 理 。 


默认 情况 下 ， 不 会 传递 控制 权 ， 而 是 返回 一 个 要 求 认证 的 上 应答。 这 样 做 是 为 了 保持 系统 更 加 
安全 并 且 符 合 NCSA 要 求 的 标准 。 


Apache 模 块 mod_autoindex 


说 明 自动 对 目录 中 的 内 容 生 成 列表 ， 类 似 于 "ls" 或 "dir" 命 全 
状态 基本 (B) 
模块 名 autoindex_module 
源 文件 mod autoindex.c 


ve 
概述 
The index of a directory can come from one of two sources: 


e Afile written by the user, typically called index.html . The DirectoryIndex directive 
sets the name of this file. This is controlled by mod dir . 

e Otherwise, a listing generated by the server. The other directives control the format of 
this listing. The AddIcon , AddIconByEncoding 和 AddIconByType are used to set a list of 
icons to display for various file types; for each file listed, the first icon listed that matches 
the file is displayed. These are controlled by mod autoindex . 


The two functions are separated so that you can completely remove (or replace) automatic 
index generation should you want to. 


Automatic index generation is enabled with using options «Indexes . See the options 
directive for more details. 


If the FancyIndexing option is given with the Indexoptions directive, the column headers 
are links that control the order of the display. If you select a header link, the listing will be 
regenerated, sorted by the values in that column. Selecting the same header repeatedly 
toggles between ascending and descending order. These column header links are 
suppressed with Indexoptions directive's suppresscolumnsorting option. 


Note that when the display is sorted by "Size", it's the actual size of the files that's used, not 
the displayed value - so a 1010-byte file will always be displayed before a 1011-byte file (if in 
ascending order) even though they both are shown as "1K". 


Autoindex Request Query Arguments 


Apache 2.0.23 reorganized the Query Arguments for Column Sorting, and introduced an 
entire group of new query options. To effectively eliminate all client control over the output, 
the IndexOptions Ignoreclient option was introduced. 


The column sorting headers themselves are self-referencing hyperlinks that add the sort 
query options shown below. Any option below may be added to any request for the directory 
resource. 


e c-N sorts the directory by file name 

e c-M sorts the directory by last-modified date, then file name 
e c-s sorts the directory by size, then file name 

e c=p sorts the directory by description, then file name 

* o=a sorts the listing in Ascending Order 

e 0-D sorts the listing in Descending Order 

e r-o formats the listing as a simple list (not Fancylndexed) 
e r-i formats the listing as a Fancylndexed list 

e r-2 formats the listing as an HTMLTable Fancylndexed list 
e v=o disables version sorting 

e v-1 enables version sorting 

e P-pattern lists only files matching the given pattern 


Note that the 'P'attern query argument is tested after the usual IndexIgnore directives are 
processed, and all file names are still subjected to the same criteria as any other autoindex 
listing. The Query Arguments parser in mod_autoindex will stop abruptly when an 
unrecognized option is encountered. The Query Arguments must be well formed, according 
to the table above. 


The simple example below, which can be clipped and saved in a header.html file, illustrates 
these query options. Note that the unknown "X" argument, for the submit button, is listed last 
to assure the arguments are all parsed before mod_autoindex encounters the X=Go input. 


«form action="" method="get"> 
Show me a «select name="F"> 
«option value="0"> Plain list</option> 
«option value="1" selected-"selected"» Fancy list</option> 


«option value="2"> Table list</option> 
</select> 


Sorted by <select name="C"> 
«option value="N" selected="selected"> Name</option> 
«option value="M"> Date Modified</option> 
<option value="S"> Size</option> 


<option value="D"> Description</option> 
</select> 


<select name="0"> 
<option value="A" selected="selected"> Ascending</option> 


<option value="D"> Descending</option> 
</select> 


<select name="V"> 
<option value="0" selected="selected"> in Normal order</option> 


<option value="1"> in Version order</option> 
</select> 


Matching <input type="text" name="P" value="*" /> 


<input type="submit" name="X" value="Go" /> 
</form> 


AddAlt 1&4 


Alternate text to display for a file, instead of an icon selected by 


说 明 
filename 
3B} AddAlt string file [file] 
作用 Te. 
域 Server config, virtual host, directory, .htaccess 
覆盖 
项 Indexes 
状态 基本 (B) 
模块 mod autoindex 


AddAlt provides the alternate text to display for a file, instead of an icon, for 
FancyIndexing .File is a file extension, partial filename, wild-card expression or full filename 
for files to describe. If String contains any whitespace, you have to enclose it in quotes 


( " & ' ). This alternate text is displayed if the client is image-incapable, has image loading 
disabled, or fails to retrieve the icon. 


例子 


AddAlt "PDF file" *.pdf 


AddAlt Compressed *.gz *.zip *.Z 


AddAItByEncoding 指令 


Alternate text to display for a file instead of an icon selected by MIME- 


说 明 4 
encoding 

语法 AddAltByEncoding string MIME-encoding [MIME-encoding] ... 

作用 - 

域 Server config, virtual host, directory, .htaccess 

gei: 

"m Indexes 

入 

状态 基本 (B) 

模块 mod autoindex 


AddAltByEncoding provides the alternate text to display for a file, instead of an icon, for 
FancyIndexing . MIME-encoding is a valid content-encoding, such as x-compress . If String 
contains any whitespace, you have to enclose it in quotes ( " 5% ' ). This alternate text is 
displayed if the client is image-incapable, has image loading disabled, or fails to retrieve the 


icon. 


示例 


AddAltByEncoding gzip x-gzip 


AddAItByType 指令 


Alternate text to display for a file, instead of an icon selected by MIME 


^Y H 

说 明 content-type 
语法 AddAltByType string MIME-type [MIME-type] ... 
作用 TP 

域 server config, virtual host, directory, .htaccess 
上 3 

= Indexes 

p 

状态 ， 基 本 (B) 


模块 mod autoindex 


AddAltByType sets the alternate text to display for a file, instead of an icon, for 

FancyIndexing . MIME-type is a valid content-type, such as text/html . If String contains 
any whitespace, you have to enclose it in quotes ( " £k ' ). This alternate text is displayed if 
the client is image-incapable, has image loading disabled, or fails to retrieve the icon. 


示例 


AddAltByType 'plain text' text/plain 


AddDescription 1&4 


说 明 Description to display for a file 
语法 AddDescription string file [file] ... 
作用 域 server config, virtual host, directory, .htaccess 
fem i Indexes 
状态 基本 (B) 
模块 mod_autoindex 


This sets the description to display for a file, for FancyIndexing . File is a file extension, 
partial filename, wild-card expression or full filename for files to describe. String is enclosed 


in double quotes ( " ). 


示例 


AddDescription "The planet Mars" /web/pics/mars.gif 


The typical, default description field is 23 bytes wide. 6 more bytes are added by the 

IndexOptions SuppressIcon option, 7 bytes are added by the Indexoptions SuppressSize 
option, and 19 bytes are added by the Indexoptions SuppressLastModified option. Therefore, 
the widest default the description column is ever assigned is 55 bytes. 


See the DescriptionWidth Indexoptions keyword for details on overriding the size of this 
column, or allowing descriptions of unlimited length. 


Caution 


Descriptive text defined with AddDescription may contain HTML markup, such as tags and 
character entities. If the width of the description column should happen to truncate a tagged 
element (such as cutting off the end of a bolded phrase), the results may affect the rest of 
the directory listing. 


Addicon 1&4; 


说 明 Icon to display for a file selected by name 
语法 AddIcon icon name [name] ... 
作用 域 server config, virtual host, directory, .htaccess 
fem Indexes 
状态 基本 (B) 
模块 mod autoindex 


This sets the icon to display next to a file ending in name for FancyIndexing . Icon is either a 
(%-escaped) relative URL to the icon, or of the format (alttext, url) where alttext is the 
text tag given for an icon for non-graphical browsers. 


Name is either ^^prRECTORY^^ for directories, ^^BLANKICON^^ for blank lines (to format the 
list correctly), a file extension, a wildcard expression, a partial filename or a complete 
filename. 


例子 


AddIcon (IMG,/icons/image.xbm) .gif .jpg .xbm 
AddIcon /icons/dir.xbm ^^DIRECTORY^^ 


AddIcon /icons/backup.xbm *- 


AddIconByrype Should be used in preference to Addrcon , when possible. 


AddiconByEncoding 指令 


说 明 Icon to display next to files selected by MIME content-encoding 
语法 AddIconByEncoding icon MIME-encoding [MIME-encoding] ... 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 
状态 基本 (B) 
模块 mod_autoindex 


This sets the icon to display next to files with FancyIndexing . Icon is either a (%-escaped) 
relative URL to the icon, or of the format (alttext, url) where alttext is the text tag given 
for an icon for non-graphical browsers. 


MIME-encoding is a wildcard expression matching required the content-encoding. 


示例 


AddIconByEncoding /icons/compress.xbm x-compress 


AddiconByType #8 


说 明 Icon to display next to files selected by MIME content-type 
EG AddIconByType icon MIME-type [MIME-type] ... 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 
状态 基本 (B) 
模块 mod_autoindex 


This sets the icon to display next to files of type MIME-type for FancyIndexing . Icon is either 
a (%-escaped) relative URL to the icon, or of the format (alttext, url) where alttext is the 
text tag given for an icon for non-graphical browsers. 


MIME-type is a wildcard expression matching required the mime types. 


示例 


AddIconByType (IMG,/icons/image.xbm) image/* 


Defaulticon 1&4 


说 明 Icon to display for files when no specific icon is configured 
语法 DefaultIcon url-path 
作用 域 server config, virtual host, directory, .htaccess 
Bun o Indexes 
状态 基本 (B) 
模块 mod autoindex 


DefaultIcon directive sets the icon to display for files when no specific icon is known, for 
FancyIndexing . Url-path is a (%-escaped) relative URL to the icon. 


示例 


DefaultIcon /icon/unknown.xbm 


HeaderName 指令 


说 明 Name of the file that will be inserted at the top of the index listing 


语法 HeaderName filename 


作用 域 server config, virtual host, directory, .htaccess 


Emi Indexes 
状态 基本 (B) 
模块 mod_autoindex 


HeaderName directive sets the name of the file that will be inserted at the top of the index 
listing. Filename is the name of the file to include. 


示例 


HeaderName HEADER.html 


Both HeaderName and ReadmeName now treat Filename as a URI path relative to the one 
used to access the directory being indexed. If Filename begins with a slash, it will be taken 
to be relative to the DocumentRoot . 


示例 


HeaderName /include/HEADER.html 


Filename must resolve to a document with a major content type of text/* (fl 

A, text/html , text/plain , etc.). This means that filename may refer to a CGI script if the 
script's actual file type (as opposed to its output) is marked as text/html such as with a 
directive like: 


AddType text/html .cgi 


Content negotiation will be performed if options Multiviews is in effect. If filename 
resolves to a static text/html document (not a CGI script) and either one of the options 

Includes 或 IncludesNoExEec is enabled, the file will be processed for server-side includes 
(see the mod include documentation). 


If the file specified by HeaderName contains the beginnings of an HTML document (<html>, 
<head>, etc.) then you will probably want to set Indexoptions +SuppressHTMLPreamble , SO that 
these tags are not repeated. 


Indexlgnore 1845 


说 明 Adds to the list of files to hide when listing a directory 
EG IndexIgnore file [file] ... 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 
状态 基本 (B) 
模块 mod_autoindex 


IndexIgnore directive adds to the list of files to hide when listing a directory. File is a shell- 
style wildcard expression or full filename. Multiple Indexlgnore directives add to the list, 
rather than the replacing the list of ignored files. By default, the list contains . (the current 
directory). 


IndexlIgnore README .htaccess *.bak *- 


IndexOptions 184: 


说 明 Various configuration settings for directory indexing 


语法 IndexOptions [+&#124;-]option [[+&#124;-]option] ... 
作用 域 server config, virtual host, directory, .htaccess 

覆盖 项 Indexes 

状态 基本 (B) 

模块 mod_autoindex 


Indexoptions directive specifies the behavior of the directory indexing. Option can be one 
of 


DescriptionWidth=[n | *] (Apache 2.0.23 and later) 


The Descriptionwidth keyword allows you to specify the width of the description column in 
characters. 


-Descriptionwidth (or unset) allows mod_autoindex to calculate the best width. 
Descriptionwidth=n fixes the column width to n bytes wide. 


Descriptionwidth-* grows the column to the width necessary to accommodate the longest 
description string. 


See the section on AddDescription for dangers inherent in truncating descriptions. 
Fancylndexing 

This turns on fancy indexing of directories. 

FoldersFirst (Apache 2.0.23 and later) 


If this option is enabled, subdirectory listings will always appear first, followed by normal files 
in the directory. The listing is basically broken into two components, the files and the 
subdirectories, and each is sorted separately and then displayed subdirectories-first. For 
instance, if the sort order is descending by name, and FoldersFirst is enabled, 
subdirectory Zed will be listed before subdirectory Beta , which will be listed before normal 
files Gamma 和 Alpha . This option only has an effect if rancyrindexing is also enabled. 


HTMLTable (Experimental, Apache 2.0.23 and later) 


This experimental option with FancyIndexing constructs a simple table for the fancy directory 
listing. Note this will confuse older browsers. It is particularly necessary if file names or 
description text will alternate between left-to-right and right-to-left reading order, as can 
happen on WinNT or other utf-8 enabled platforms. 


IconsAreLinks 


This makes the icons part of the anchor for the filename, for fancy indexing. 
IconHeight[=pixels] 


Presence of this option, when used with IconWidth, will cause the server to include 

height 和 width attributes in the img tag for the file icon. This allows browser to 
precalculate the page layout without having to wait until all the images have been loaded. If 
no value is given for the option, it defaults to the standard height of the icons supplied with 
the Apache software. 


IconWidth[=pixels] 


Presence of this option, when used with tIconHeight , will cause the server to include 

height 和 width attributes in the img tag for the file icon. This allows browser to 
precalculate the page layout without having to wait until all the images have been loaded. If 
no value is given for the option, it defaults to the standard width of the icons supplied with 
the Apache software. 


IgnoreCase 


If this option is enabled, names are sorted in a case-insensitive manner. For instance, if the 
sort order is ascending by name, and IgnoreCase is enabled, file Zeta will be listed after file 
alfa (Note: file GAMMA will always be listed before file gamma). 


IgnoreClient 


This option causes mod_autoindex to ignore all query variables from the client, including sort 
order (implies suppresscolumnsorting .) 


NameWidth=[n | *] 

The Namewidth keyword allows you to specify the width of the filename column in bytes. 
-Namewidth (or unset) allows mod_autoindex to calculate the best width. 
Namewidth=n fixes the column width to n bytes wide. 
Namewidth-* grows the column to the necessary width. 

ScanHTMLTitles 


This enables the extraction of the title from HTML documents for fancy indexing. If the file 
does not have a description given by AddDescription then httpd will read the document for 
the value of the titie element. This is CPU and disk intensive. 


ShowForbidden 


If specified, Apache will show files normally hidden because the subrequest returned 
HTTP UNAUTHORIZED or HTTP FORBIDDEN 


SuppressColumnSorting 


If specified, Apache will not make the column headings in a Fancylndexed directory listing 
into links for sorting. The default behavior is for them to be links; selecting the column 
heading will sort the directory listing by the values in that column. Prior to Apache 2.0.23, 
this also disabled parsing the Query Arguments for the sort string. That behavior is 
now controlled by IndexOptions IgnoreClient in Apache 2.0.23. 


SuppressDescription 


This will suppress the file description in fancy indexing listings. By default, no file 
descriptions are defined, and so the use of this option will regain 23 characters of screen 
space to use for something else. See addDescription for information about setting the file 
description. See also the bDescriptionwidth index option to limit the size of the description 
column. 


SuppressHTMLPreamble 


If the directory actually contains a file specified by the Headername directive, the module 
usually includes the contents of the file after a standard HTML preamble ( <html> , <head> , 
et cetera). The SuppressHTMLPreamble option disables this behaviour, causing the module to 
start the display with the header file contents. The header file must contain appropriate 
HTML instructions in this case. If there is no header file, the preamble is generated as usual. 


Suppresslcon (Apache 2.0.23 and later) 


This will suppress the icon in fancy indexing listings. Combining both 
SuppressIcon 和 suppressRules yields proper HTML 3.2 output, which by the final 
specification prohibits img 和 hr elements from the pre block (used to format 
Fancylndexed listings.) 


SuppressLastModified 
This will suppress the display of the last modification date, in fancy indexing listings. 
SuppressRules (Apache 2.0.23 and later) 


This will suppress the horizontal rule lines ( hr elements) in directory listings. Combining 
both suppressIcon 和 suppressRules yields proper HTML 3.2 output, which by the final 
specification prohibits img 和 hr elements from the pre block (used to format 
Fancylndexed listings.) 


SuppressSize 


This will suppress the file size in fancy indexing listings. 
TrackModified (Apache 2.0.23 and later) 


This returns the Last-Modified and ETag values for the listed directory in the HTTP header. It 
is only valid if the operating system and file system return appropriate stat() results. Some 
Unix systems do so, as do OS2's JFS and Win32's NTFS volumes. OS2 and Win32 FAT 
volumes, for example, do not. Once this feature is enabled, the client or proxy can track 
changes to the list of files when they perform a HEAD request. Note some operating 

systems correctly track new and removed files, but do not track changes for sizes or dates of 
the files within the directory. Changes to the size or date stamp of an existing file will not 
update the Last-Modified header on all Unix platforms. If this is a concern, leave this 
option disabled. 


VersionSort (Apache 2.0a3 and later) 


The versionsort keyword causes files containing version numbers to sort in a natural way. 
Strings are sorted as usual, except that substrings of digits in the name and description are 
compared according to their numeric value. 


示例 : 


If the number starts with a zero, then it is considered to be a fraction: 


foo-1.001 
foo-1.002 
foo-1.030 


foo-1.04 


XHTML (Apache 2.0.49 and later) 
The xurwL keyword forces mod_autoindex to emit XHTML 1.0 code instead of HTML 3.2. 


Incremental IndexOptions 


Apache 1.3.3 introduced some significant changes in the handling of Indexoptions 
directives. In particular: 


e Multiple rndexoptions directives for a single directory are now merged together. The 
result of: 


&lt;Directory /foo&gt; 
IndexOptions HTMLTable 


IndexOptions SuppressColumnsorting 
&lt;/Directory&gt; 


will be the equivalent of 


IndexOptions HTMLTable SuppressColumnsorting 


e The addition of the incremental syntax (i.e., prefixing keywords with + 或 - ). 


Whenever a '*' or '-' prefixed keyword is encountered, it is applied to the current 

Indexoptions settings (which may have been inherited from an upper-level directory). 
However, whenever an unprefixed keyword is processed, it clears all inherited options and 
any incremental settings encountered so far. Consider the following example: 


IndexOptions +ScanHTMLTitles -IconsAreLinks FancyIndexing 


IndexOptions +SuppressSize 


The net effect is equivalent to Indexoptions FancyIndexing +SuppressSize , because the 
unprefixed FancyIndexing discarded the incremental keywords before it, but allowed them 
to start accumulating again afterward. 


To unconditionally set the Indexoptions for a particular directory, clearing the inherited 
settings, specify keywords without any + £X - prefixes. 


IndexOrderDefault 1&4 


Sets the default ordering of the directory index 


IndexOrderDefault Ascending&#124;Descending Name&#124; Date&#124; Size&#124;Descript: 


i IndexOrderDefault Ascending Name 


server config, virtual host, directory, .htaccess 


ignc 
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mod autoindex 


IndexOrderDefault directive is used in combination with the FancyIndexing index option. By 
default, fancyindexed directory listings are displayed in ascending order by filename; the 
IndexOrderDefault allows you to change this initial display order. 


IndexOrderDefault takes two arguments. The first must be either Ascending 或 Descending , 
indicating the direction of the sort. The second argument must be one of the keywords 

Name , Date , Size , Or Description , and identifies the primary key. The secondary key is 
always the ascending filename. 


You can force a directory listing to only be displayed in a particular order by combining this 
directive with the suppresscolumnsorting index option; this will prevent the client from 
requesting the directory listing in a different order. 


IndexStyleSheet 184: 


说 明 Adds a CSS stylesheet to the directory index 
ask IndexStyleSheet url-path 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 
状态 基本 (B) 


模块 mod_autoindex 


IndexStyleSheet directive sets the name of the file that will be used as the CSS for the 
index listing. 


示例 


IndexStyleSheet "/css/style.css" 


ReadmeName 1&4 


说 明 Name of the file that will be inserted at the end of the index listing 


语法 ReadmeName filename 


作用 域 server config, virtual host, directory, .htaccess 


‘sma ih Indexes 
状态 基本 (B) 
模块 mod autoindex 


ReadmeName directive sets the name of the file that will be appended to the end of the index 
listing. Filename is the name of the file to include, and is taken to be relative to the location 
being indexed. If Filename begins with a slash, it will be taken to be relative to the 


DocumentRoot . 


示例 


ReadmeName FOOTER.html 


Example 2 


ReadmeName /include/FOOTER.html 


See also HeaderName , where this behavior is described in greater detail. 


Apache mod cache 


说 明 基于 URI 键 的 内 容 动态 缓冲 (内 存 或 磁盘 ) 
状态 扩展 (E) 
模块 名 cache module 
源 文件 mod cache.c 


概述 


This module should be used with care and can be used to circumvent Allow 和 Deny 
directives. You should not enable caching for any content to which you wish to limit access 
by client host name, address or environment variable. 


mod cache implements an RFC 2616 compliant HTTP content cache that can be used to 
cache either local or proxied content. mod cache requires the services of one or more 
storage management modules. Two storage management modules are included in the base 
Apache distribution: 


mod disk cache 
implements a disk based storage manager. 


mod mem cache 


implements a memory based storage manager. mod mem cache can be configured to operate 
in two modes: caching open file descriptors or caching objects in heap storage. 

mod mem cache can be used to cache locally generated content or to cache backend server 
content for mod proxy when configured using ProxyPass (aka «dfn 
class="calibre27">reverse proxy</dfn>) 


Content is stored in and retrieved from the cache using URI based keys. Content with 
access protection is not cached. 


Related Modules and Directives 


相关 模块 


* mod disk cache 


* mod mem cache 


相关 指 今 


*  CacheRoot 


* CacheSize 

*  CacheDirLevels 

*  CacheDirLength 

*  CacheMinFileSize 

*  CacheMaxFileSize 

*  MCacheSize 

*  MCacheMaxObjectCount 

©  MCacheMinObjectSize 

©  MCacheMaxObjectSize 

©  MCacheRemovalAlgorithm 


©  MCacheMaxStreamingBuffer 


Sample Configuration 


Sample httpd.conf 


# 
# Sample Cache Configuration 
# 
LoadModule cache_module modules/mod_cache.so 
<IfModule mod_cache.c> 
#LoadModule disk_cache_module modules/mod_disk_cache.so 
# If you want to use mod_disk_cache instead of mod_mem_cache, 
# uncomment the line above and comment out the LoadModule line below. 
<IfModule mod_disk_cache.c> 
CacheRoot c:/cacheroot 
CacheEnable disk / 
CacheDirLevels 5 


CacheDirLength 3 
</IfModule> 


LoadModule mem_cache_module modules/mod_mem_cache.so 
<IfModule mod_mem_cache.c> 
CacheEnable mem / 
MCacheSize 4096 
MCacheMaxObjectCount 100 
MCacheMinObjectSize 1 


MCacheMaxObjectSize 2048 
</IfModule> 


# When acting as a proxy, don't cache the list of security updates 


CacheDisable http://security.update.server/update-list/ 
</IfModule> 


CacheDefaultExpire 1845 


The default duration to cache a document when no expiry date is 
specified. 


;五 ~ CacheDefaultExpire seconds 


CacheDefaultExpire 3600 (one hour) 


域 Server config, virtual host 


KAS 扩展 (E) 


模块 mod cache 


CacheDefaultExpire directive specifies a default time, in seconds, to cache a document if 
neither an expiry date nor last-modified date are provided with the document. The value 
specified with the cacheMaxExpire directive does not override this setting. 


CacheDefaultExpire 86400 


CacheDisable 指令 


说 明 Disable caching of specified URLs 
语法 CacheDisable url-string 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod cache 


CacheDisable directive instructs mod cache to not cache urls at or below url-string. 


示例 


CacheDisable /local files 


CacheEnable 1&4 


说 明 Enable caching of specified URLs using a specified storage manager 


语法 CacheEnable cache type url-string 


作用 域 ^ server config, virtual host 
KA 扩展 (E) 


模块 mod_cache 


CacheEnable directive instructs mod cache to cache urls at or below url-string. The cache 
storage manager is specified with the cache type argument. cache type mem instructs 

mod cache to use the memory based storage manager implemented by mod mem cache . 
cache type disk instructs mod cache to use the disk based storage manager implemented 
by mod disk cache . cache type fd instructs mod cache to use the file descriptor cache 
implemented by mod mem cache . 


In the event that the URL space overlaps between different cacheEnable directives (as in 
the example below), each possible storage manager will be run until the first one that 
actually processes the request. The order in which the storage managers are run is 
determined by the order of the cacheEnable directives in the configuration file. 


CacheEnable mem /manual 
CacheEnable fd /images 


CacheEnable disk / 


When acting as a forward proxy server, url-string can also be used to specify remote sites 
and proxy protocols which caching should be enabled for. 


# Cache proxied url's 

CacheEnable disk / 

# Cache FTP-proxied url's 
CacheEnable disk ftp:// 

# Cache content from www.apache.org 


CacheEnable disk http://www.apache.org/ 


CachelgnoreCacheControl #83 


说 明 Ignore request to not serve cached content to client 
iR CachelIgnoreCacheControl On&#124; Off 
默认 值 CachelIgnoreCacheControl Off 
VF FA server config, virtual host 
状态 扩展 (E) 
模块 mod cache 


Ordinarily, requests containing a Cache-Control: no-cache or Pragma: no-cache header 
value will not be served from the cache. The cachergnoreCacheControl directive allows this 
behavior to be overridden. cachergnorecachecontrol On tells the server to attempt to serve 
the resource from the cache even if the request contains no-cache header values. 
Resources requiring authorization will never be cached. 


CacheIgnoreCacheControl On 


Warning: 


This directive will allow serving from the cache even if the client has requested that the 
document not be served from the cache. This might result in stale content being served. 


*  CacheStorePrivate 


*  CacheStoreNoStore 


CachelgnoreHeaders 184: 


说 明 Do not store the given HTTP header(s) in the cache. 
语法 CacheIgnoreHeaders header-string [header-string] ... 
默认 值 CacheIgnoreHeaders None 
作用 域 server config, virtual host 
TAS 扩展 (E) 
模块 mod cache 


According to RFC 2616, hop-by-hop HTTP headers are not stored in the cache. The 


following HTTP headers are hop-by-hop headers and thus do not get stored in the cache in 


any case regardless of the setting of cachergnoreHeaders : 


* Connection 

@ Keep-Alive 

*  Proxy-Authenticate 
*  Proxy-Authorization 
@ TE 

* Trailers 

*  Transfer-Encoding 


* Upgrade 


CacheIgnoreHeaders specifies additional HTTP headers that should not to be stored in the 


cache. For example, it makes sense in some cases to prevent cookies from being stored in 


the cache. 


CachelIgnoreHeaders takes a space separated list of HTTP headers that should not be stored 


in the cache. If only hop-by-hop headers not should be stored in the cache (the RFC 2616 


compliant behaviour), cachergnoreHeaders Can be setto none. 


Example 1 


CachelgnoreHeaders Set-Cookie 


Example 2 


CacheIgnoreHeaders None 


Warning: 


If headers like Expires which are needed for proper cache management are not stored due 
to a CacheIgnoreHeaders setting, the behaviour of mod cache is undefined. 


CachelgnoreNoLastMod 184; 


说 明 Ignore the fact that a response has no Last Modified header. 
语法 CacheIgnoreNoLastMod On&#124; OFF 
默认 值 CacheIgnoreNoLastMod Off 


作用 域 server config, virtual host 
TK AS 扩展 (E) 


模块 mod cache 


Ordinarily, documents without a last-modified date are not cached. Under some 
circumstances the last-modified date is removed (during mod_include processing for 
example) or not provided at all. The cachergnoreNoLastMod directive provides a way to 
specify that documents without last-modified dates should be considered for caching, even 
without a last-modified date. If neither a last-modified date nor an expiry date are provided 
with the document then the value specified by the cacheDefaultExpire directive will be used 
to generate an expiration date. 


CacheIgnoreNoLastMod On 


CacheLastModifiedFactor 指令 


The factor used to compute an expiry date based on the LastModified 


说 明 date. 
语法 CacheLastModifiedFactor float 
默认 CacheLastModifiedFactor 0.1 
值 
Server config, virtual host 


Ts 扩展 (E) 


模块 mod cache 


In the event that a document does not provide an expiry date but does provide a last- 
modified date, an expiry date can be calculated based on the time since the document was 
last modified. The cacheLastModifiedFactor directive specifies a factor to be used in the 


generation of this expiry date according to the following formula: 
expiry-period = time-since-last-modified-date * factor expiry-date = current-date + expiry 


For example, if the document was last modified 10 hours ago, and factor is 0.1 then the 
expiry-period will be set to 10*0.1 = 1 hour. If the current time was 3:00pm then the 
computed expiry-date would be 3:00pm + 1hour = 4:00pm. If the expiry-period would be 
longer than that set by cacheMaxExpire , then the latter takes precedence. 


CacheLastModifiedFactor 0.5 


CacheMaxExpire 指令 


说 明 The maximum time in seconds to cache a document 
语法 CacheMaxExpire seconds 
默认 值 CacheMaxExpire 86400 (one day) 
作用 域 server config, virtual host 
SS 扩展 (E) 
模块 mod cache 


CacheMaxExpire directive specifies the maximum number of seconds for which cachable 
HTTP documents will be retained without checking the origin server. Thus, documents will 
be out of date at most this number of seconds. This maximum value is enforced even if an 
expiry date was supplied with the document. 


CacheMaxExpire 604800 


CacheStoreNoStore 指令 


说 明 Attempt to cache requests or responses that have been marked as no- 


store. 
语法 CacheStoreNoStore On&#124; OFF 
PE > 
默认 CacheStoreNoStore Off 
值 
i server config, virtual host 
KA y R(E) 
模块 mod cache 


Ordinarily, requests or responses with Cache-Control: no-store header values will not be 
stored in the cache. The cachestoreNocache directive allows this behavior to be overridden. 
CacheStoreNoCache On tells the server to attempt to cache the resource even if it contains 

no-store header values. Resources requiring authorization will never be cached. 


CacheStoreNoStore On 


Warning: 


As described in RFC 2616, the no-store directive is intended to "prevent the inadvertent 
release or retention of sensitive information (for example, on backup tapes)." Enabling this 
option could store sensitive information in the cache. You are hereby warned. 


*  CachelIgnoreCacheControl 


*  CacheStorePrivate 


CacheStorePrivate 1&4 


说 明 
语法 
默认 值 
作用 域 
状态 


模块 


Attempt to cache responses that the server has marked as private 


CacheStorePrivate On&#124;0Off 


CacheStorePrivate Off 
server config, virtual host 
扩展 (E) 


mod cache 


Ordinarily, responses with Cache-Control: private header values will not be stored in the 


cache. The cachestorePrivate directive allows this behavior to be overridden. 


CacheStorePrivate On tells the server to attempt to cache the resource even if it contains 


private header values. Resources requiring authorization will never be cached. 


CacheStorePrivate On 


Warning: 


This directive will allow caching even if the upstream server has requested that the resource 


not be cached. This directive is only ideal for a 'private' cache. 


*  CachelIgnoreCacheControl 


*  CacheStoreNoStore 


Apache 模 块 mod cern meta 


说 明 人 允许 Apache 使 用 CERN httpd 元 文件 ， 从 而 可 以 在 发 送 文件 时 对 头 进行 修改 
状态 扩展 (E) 
模块 名 | cern meta module 


源 文件 | mod cern meta.c 


概述 


Emulate the CERN HTTPD Meta file semantics. Meta files are HTTP headers that can be 
output in addition to the normal range of headers for each file accessed. They appear rather 
like the Apache .asis files, and are able to provide a crude way of influencing the Expires: 
header, as well as providing other curiosities. There are many ways to manage meta 
information, this one was chosen because there is already a large number of CERN users 
who can exploit this module. 


More information on the CERN metafile semantics is available. 


MetaDir 1E 4 


说 明 Name of the directory to find CERN-style meta information files 
语法 MetaDir directory 
默认 值 MetaDir .web 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 
状态 扩展 (E) 
模块 mod cern meta 


Specifies the name of the directory in which Apache can find meta information files. The 
directory is usually a 'hidden' subdirectory of the directory that contains the file being 
accessed. Set to" . "to look in the same directory as the file: 


MetaDir . 


Or, to set it to a subdirectory of the directory containing the files: 


MetaDir .meta 


MetaFiles 指令 


说 明 Activates CERN meta-file processing 
语法 MetaFiles on&#124; off 
默认 值 MetaFiles off 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 
状态 扩展 (E) 
模块 mod_cern_meta 


Turns on/off Meta file processing on a per-directory basis. 


MetaSuffix 1&4 


说 明 File name suffix for the file containg CERN-style meta information 
语法 MetaSuffix suffix 
默认 值 MetaSuffix ,meta 


作用 域 ， server config, virtual host, directory, .htaccess 


Bu Indexes 
KA 扩展 (E) 
模块 mod_cern_meta 


Specifies the file name suffix for the file containing the meta information. For example, the 
default values for the two directives will cause a request to 

DOCUMENT ROOT/somedir/index.html to look in DOCUMENT_ROOT/somedir/.web/index.html.meta 
and will use its contents to generate additional MIME header information. 


示例 : 


MetaSuffix .meta 


Apache mod cgi 


说 明 在 非 线程 型 MPM( prefork ) 上 提供 对 CGI 脚本 执行 的 支持 
状态 基本 (B) 
模块 名 cgi module 


源 文件 mod cgi.c 


概述 


任何 具有 MIME 类 型 application/x-httpd-cgi 或 者 被 cgi-script 义理 器 义理 的 文件 都 将 被 作 
为 CGI 脚本 对 待 并 由 服务 器 运行 ， 它 的 输出 将 被 返回 给 客户 端 。 可 以 通过 两 种 途径 使 文件 成 为 
CGI 脚本 ， 一 种 是 文件 具有 已 由 AddType 指令 定义 的 扩展 名 ， 另 一 种 是 文件 位 

于 ScriptAlias 目录 中 。 


当 服 务 器 调用 一 个 CGI 脚本 时 会 往 运行 环境 中 添加 一 个 叫做 pocuMENT_RooT 的 变量 。 这 个 变量 
将 包含 DocumentRoot 指使 的 值 。 


要 得 到 对 Apache 中 使 用 CGI 脚本 的 介绍 ， 参 看 使 用 CGI 产生 动态 内 容 。 


在 UNIX 下 使 用 多 线程 型 的 MPM 时 ， 应 该 使 用 模块 mod cgid 代 蔡 本 模块 。 在 用 户 层面 ， 这 两 
个 模块 本 质 上 是 相同 的 。 


CGI 环境 变量 


Apache 将 按照 CGI 规范 设置 环境 变量 ， 有 以 下 几 个 : 
PATH_INFO 


如 果 显 式 设 置 了 AcceptPathInfo DA off ， 这 个 变量 将 不 可 用 。 如 果 没 有 明确 设 

i@ AcceptPathInfo ， 默 认 的 行为 是 mod_cgi 将 会 接受 路 径 信 息 (URI 里 脚本 文件 名 之 后 

的 /more/path/info ), 即使 服务 器 核心 对 请 求 的 附加 路 径 信息 返回 "404 NOT FOUND" X, 
省 略 AcceptPathInfo 指令 与 将 它 设置 为 on 对 mod cgi 请 求 具有 相同 的 效果 。 


REMOTE_HOST 


这 个 变量 只 有 在 HostnameLookups 指令 被 设置 为 " on "(默认 是 "off') 并 且 对 访问 主机 的 DNS 反 查 
确实 找到 了 主机 名 时 才 被 设置 。 


REMOTE_IDENT 


这 个 变量 只 有 在 rdentitycheck 被 设置 为 on 并 且 访 问 主机 支持 识别 协议 时 才 被 设置 。 注 意 
这 个 变量 不 能 信赖 ， 因 为 它 很 容易 被 假冒 。 而 且 如 果 客 户 端 与 服务 器 之 间 存 在 代理 的 话 ， 这 
个 变量 通常 完全 没有 用 处 。 


REMOTE_USER 


这 个 变量 只 有 当 CGI 脚 本 需要 身份 验证 时 才 被 设置 


CGI 脚本 的 调试 


调试 CGI 脚本 一 直 以 来 都 很 困难 ， 主 要 是 因为 在 脚本 不 能 正确 运行 时 不 可 能 研究 它 的 输出 
(stdout 和 stderr)。 这 些 指 邻 为 发 生 错误 时 提供 了 更 详细 的 错误 日 志 。 


CGI 日 志文 件 格式 


置 好 以 后 ，CGI 错 误 日 志 会 记录 任何 没有 正确 运行 的 CGIl。 运行 失败 的 CGI 脚本 都 有 几 
头 两 行 总 是 这 样 的 格式 : 


%% [«var Class="calibre40">time</var>] «var class="calibre40">request -line</var> 


966 «var Class="Calibre40">HTTP-status</var> «var class="calibre40">CGI-script-fil 
EEE 
如 果 错 误 是 CGI 脚本 无 法 执行 ， 日 志文 件 会 包含 以 下 额外 的 两 行 : 





%%error 


<var class="calibre40">error-message</var> 


或 者 ， 如 果 错 误 是 脚本 执行 结果 返回 了 不 正确 的 头 信 息 ( 经 常 是 由 于 脚本 内 部 的 bug)， 会 记录 
以 下 两 行 : 


%request 
«var class="calibre40">All HTTP request headers received</var> 
<var class="calibre40">POST or PUT entity (if any)</var> 
%response 
«var class="calibre40">All headers output by the CGI script</var> 
%stdout 
<var class="calibre40">CGI standard output</var> 
%stderr 


<var class="calibre40">CGI standard error</var> 


如 果 脚 本 没有 在 stdout 和 stderr 上 输出 可 能 会 没有 %stdout 和 %stderr 部 分 。 


ScriptLog #83 


说 明 CGI 脚本 错误 日 志文 件 的 位 置 
语法 ScriptLog file-path 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod cgi , mod cgid 


ScriptLog 指令 设置 了 CGI 脚本 错误 日 志文 件 的 位 置 。 如 果 没 有 设置 scripttog ， 就 不 会 创建 
某 误 日 志 。 如 果 设 置 了 ， 所 有 CGI 错误 都 会 被 记 和 人 作为 指令 参数 的 文件 中 。 如 果 是 一 个 相对 路 


径 则 以 serverRoot 为 参照 。 


示例 


ScriptLog logs/cgi log 


此 日 志 会 以 运行 子 进程 的 用 户 身份 打开 ， 比 如 由 主 服 务 器 配置 部 分 的 user 指令 指定 的 用 户 。 
这 意味 着 ， 或 者 该 用 户 对 脚本 日 志 所 在 目录 具有 写 权 限 ， 或 者 日 志文 件 由 此 用 户 手 工 创 建 并 
设置 为 可 写 。 如 果 你 把 脚本 日 志 放 在 你 的 主 日 志 目录 中 ， 不 要 为 了 让 运行 子 进程 的 用 户 可 以 
写 日 志 而 改变 目录 的 权限 。 


注意 ， 脚 本 日 志 是 为 了 给 创建 CGI 脚本 提供 一 个 调试 特性 ， 而 不 是 要 在 运行 服务 时 持续 保持 活 
动 状态 。 它 没有 为 速度 或 是 效率 作 优化 ， 而 且 和 与 专门 设计 的 那些 特性 不 同 ， 在 某 种 程度 上 它 
会 存在 安全 问题 。 


ScriptLogBuffer 1&4 


说 明 记 入 日 志文 件 的 PUT 或 POST 请 求 头 的 最 大 数量 
jux ScriptLogBuffer bytes 
默认 值 ScriptLogBuffer 1024 
作用 域 server config, virtual host 
状态 基本 (B) 


模块 mod cgi , mod cgid 


限制 记 入 日 志文 件 的 PUT 或 者 POST 内 容 的 大 小 ， 防 止 如 果 接 收 到 很 大 内 容 时 日 志文 件 的 尺寸 
增加 得 太 快 太 大 。 默 认 地 ， 最 多 纪录 1024 字 节 ， 但 这 个 数字 可 以 用 此 指令 改变 。 


ScriptLogLength 1&4 


说 明 日 志文 件 的 大 小 限制 ( 字 节 ) 
语法 ScriptLogLength bytes 
默认 值 ScriptLogLength 10385760 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod cgi , mod cgid 


ScriptLogLength 指令 可 以 用 于 限制 CGI 脚本 文件 的 大 小 。 由 于 日 志文 件 对 每 个 CGI 错误 纪录 
(所 有 请 求 头 、 所 有 脚本 输出 ) 许 多 信息 ， 它 有 可 能 会 变 成 一 个 很 大 的 文件 。 为 了 防止 无 限制 的 
增长 引起 的 问题 ， 这 个 指令 可 以 用 来 给 CGI 日 志文 件 的 大 小 设置 一 个 上 限 。 如 果 文 件 大 小 达到 
了 这 个 限制 ， 就 不 会 再 有 信息 被 写 信 日志 。 


Apache 3à mod cgid 


说 明 在 线程 型 MPM( worker ) 上 用 一 个 外 部 CGI 守护 进程 执行 CGI 脚本 
状态 基本 (B) 
模块 名 cgid_module 
源 文 件 mod_cgid.c 
兼容 性 仅 用 于 Unix 系 统 上 的 线程 型 MPM 


概述 


除了 优化 和 下 面额 外 的 ScriptSock ES, mod_cgid 表现 得 与 mod_cgi 非常 相似 。 参 
见 mod_cgi 以 了 解 关 于 Apache 和 CGI 的 信息 细节 。 


在 特定 的 unix 操 作 系 统 上 ， 从 一 个 多 线程 服务 器 fork 一 个 进程 是 非常 昂贵 的 操作 ， 因 为 新 进程 
会 复制 其 父 进 程 的 所 有 线程 。 为 了 避免 每 个 CGI 调 用 都 导致 产生 这 样 的 开销 ， mod_cgid 创建 
一 个 外 部 守护 进程 来 负责 fork 子 进程 以 运行 CGI 脚本 。 主 服务 器 使 用 unix domain 套 接 字 与 这 个 
守护 进程 通信 。 


只 要 编译 时 选择 了 多 线程 型 的 MPM 支 持 ， 这 个 模块 就 会 默认 代替 mod cgi 。 在 用 户 层 面 ， 此 
模块 在 配置 和 操作 上 和 与 mod cgi 是 一 样 的 。 唯 一 的 例外 是 有 一 个 额外 的 指令 scriptsock 给 出 
了 用 于 与 cgi 守 护 进程 通信 的 套 接 字 文件 名 前 级 。 


ScriptSock 指令 


说 明 用 来 与 CGI 守护 进程 通信 的 套 接 字 文 件 名 前 组 
EG ScriptSock file-path 
默认 值 ScriptSock logs/cgisock 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod_cgid 


此 指使 设置 用 来 与 CGI 守 折 进 程 通信 的 套 接 字 文 件 名 前 级 (其 后 附加 父 进 程 PID 组 成 完整 的 文件 
名 )。 这 个 套 接 字 将 会 用 启动 Apache 服 务 器 的 父 进程 用 户 权 限 (通常 是 root) 打 开 。 为 了 维 扩 与 
CGI 脚本 通讯 的 安全 性 ， 不 允许 其 他 用 户 拥 有 写 人 套 接 字 所 在 目录 的 权限 是 很 重要 的 。 


示例 


Apache 2.2 中 文官 方 文档 


ScriptSock /var/run/cgid.sock 


Apache 模 块 mod_cgid 542 


Apache 模 块 mod charset lite 


说 明 允许 对 页 面 进行 字符 集 转换 
状态 实验 (X) 
模块 名 charset lite module 
源 文件 mod charset lite.c 


概述 


This is an experimental module and should be used with care. Experiment with your 
mod charset lite configuration to ensure that it performs the desired function. 


mod charset lite allows the administrator to specify the source character set of objects as 
well as the character set they should be translated into before sending to the client. 

mod charset lite does not translate the data itself but instead tells Apache what translation 
to perform. mod charset lite is applicable to EBCDIC and ASCII host environments. In an 
EBCDIC environment, Apache normally translates text content from the code page of the 
Apache process locale to ISO-8859-1. mod charset lite can be used to specify that a 
different translation is to be performed. In an ASCII environment, Apache normally performs 
no translation, SO mod charset lite is needed in order for any translation to take place. 


This module provides a small subset of configuration mechanisms implemented by Russian 
Apache and its associated mod charset . 


Common Problems 


Invalid character set names 


The character set name parameters of charsetsourceEnc 和 CharsetDefault must be 
acceptable to the translation mechanism used by APR on the system where 

mod charset lite is deployed. These character set names are not standardized and are 
usually not the same as the corresponding values used in http headers. Currently, APR can 
only use iconv(3), so you can easily test your character set names using the iconv(1) 
program, as follows: 


iconv -f charsetsourceenc-value -t charsetdefault-value 


Mismatch between character set of content and translation 
rules 


If the translation rules don't make sense for the content, translation can fail in various ways, 
including: 


e The translation mechanism may return a bad return code, and the connection will be 
aborted. 

e The translation mechanism may silently place special characters (e.g., question marks) 
in the output buffer when it cannot translate the input buffer. 


CharsetDefault 指令 


说 明 Charset to translate into 
语法 CharsetDefault charset 
作用 域 Server config, virtual host, directory, .htaccess 
fem i FileInfo 
状态 实验 (X) 
模块 mod charset lite 


CharsetDefault directive specifies the charset that content in the associated container 
should be translated to. 


The value of the charset argument must be accepted as a valid character set name by the 
character set support in APR. Generally, this means that it must be supported by iconv. 


示例 


«Directory /export/home/trawick/apacheinst/htdocs/convert» 
CharsetSourceEnc  UTF-16BE 


CharsetDefault ISO-8859-1 
«/Directory» 


CharsetOptions 184 


说 明 Configures charset translation behavior 


语法 CharsetOptions option [option] ... 

默认 值 CharsetOptions DebugLevel=0 NoImplicitAdd 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 

状态 实验 (X) 

模块 mod charset lite 


Charsetoptions directive configures certain behaviors of mod charset lite . Option can be 
one of 


DebugLevel-n 


The DebugLevel keyword allows you to specify the level of debug messages generated by 
mod charset lite . By default, no messages are generated. This is equivalent to 
DebugLevel=o . With higher numbers, more debug messages are generated, and server 

performance will be degraded. The actual meanings of the numeric values are described 

with the definitions of the DBGLVL_ constants near the beginning of mod charset lite.c . 


ImplicitAdd | NoImplicitAdd 
The rimplicitAdd keyword specifies that mod charset lite should implicitly insert its filter 
when the configuration specifies that the character set of content should be translated. If the 


filter chain is explicitly configured using the Addoutputrilter directive, NoImplicitAdd 
should be specified so that mod charset 1ite doesn't add its filter. 


CharsetSourceEnc 184 


说 明 Source charset of files 
语法 CharsetSourceEnc charset 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 实验 (X) 
模块 mod charset lite 


CharsetSourceEnc directive specifies the source charset of files in the associated container. 


The value of the charset argument must be accepted as a valid character set name by the 
character set support in APR. Generally, this means that it must be supported by iconv. 


示例 


«Directory /export/home/trawick/apacheinst/htdocs/convert> 
CharsetSourceEnc  UTF-16BE 


CharsetDefault ISO-8859-1 
</Directory> 


The character set names in this example work with the iconv translation support in Solaris 8. 


Apache 模 块 mod dav 


说 明 允许 Apache 提 供 DAV 协 议 支持 
状态 扩展 (E) 
模块 名 dav_module 
源 文件 mod dav.c 


概述 


This module provides class 1 and class 2 WebDAV (Web-based Distributed Authoring and 
Versioning’) functionality for Apache. This extension to the HTTP protocol allows creating, 
moving, copying, and deleting resources and collections on a remote web server. 


Enabling WebDAV 


To enable mod dav , add the following to a container in your httpd.conf file: 


Dav On 


This enables the DAV file system provider, which is implemented by the mod dav. fs 
module. Therefore, that module must be compiled into the server or loaded at runtime using 
the LoadModule directive. 


In addition, a location for the DAV lock database must be specified in the global section of 
your httpd.conf file using the pavLockog directive: 


DavLockDB /usr/local/apache2/var/DavLock 


The directory containing the lock database file must be writable by the user 和 Group under 
which Apache is running. 


You may wish to adda «Limit» clause inside the «Location» directive to limit access to 

DAV-enabled locations. If you want to set the maximum amount of bytes that a DAV client 

can send at one request, you have to use the LimitxMLRequestBody directive. The "normal" 
LimitRequestBody directive has no effect on DAV requests. 


Full Example 


DavLockDB /usr/local/apache2/var/DavLock 
«Location /foo> 
Dav On 
AuthType Basic 
AuthName DAV 
AuthUserFile user.passwd 
«LimitExcept GET OPTIONS» 


require user admin 
«/LimitExcept» 
«/Location» 


mod dav is a descendent of Greg Stein's mod dav for Apache 1.3. More information about 
the module is available from that site. 


安全 问题 


Since DAV access methods allow remote clients to manipulate files on the server, you must 
take particular care to assure that your server is secure before enabling mod dav . 


Any location on the server where DAV is enabled should be protected by authentication. The 
use of HTTP Basic Authentication is not recommended. You should use at least HTTP 
Digest Authentication, which is provided by the mod auth digest module. Nearly all 
WebDAV clients support this authentication method. An alternative is Basic Authentication 
over an SSL enabled connection. 


In order for mod dav to manage files, it must be able to write to the directories and files 
under its control using the user 和 Group under which Apache is running. New files created 
will also be owned by this user 和 Group . For this reason, it is important to control access 
to this account. The DAV repository is considered private to Apache; modifying files outside 
of Apache (for example using FTP or filesystem-level tools) should not be allowed. 


mod dav may be subject to various kinds of denial-of-service attacks. The 

LimitXMLRequestBody directive can be used to limit the amount of memory consumed in 
parsing large DAV requests. The DavDepthInfinity directive can be used to prevent 

PROPFIND requests on a very large repository from consuming large amounts of memory. 
Another possible denial-of-service attack involves a client simply filling up all available disk 
space with many large files. There is no direct way to prevent this in Apache, so you should 
avoid giving DAV access to untrusted users. 


Complex Configurations 


One common request is to use mod dav to manipulate dynamic files (PHP scripts, CGI 
scripts, etc). This is difficult because a GET request will always run the script, rather than 
downloading its contents. One way to avoid this is to map two different URLs to the content, 
one of which will run the script, and one of which will allow it to be downloaded and 
manipulated with DAV. 


Alias /phparea /home/gstein/php files 
Alias /php-source /home/gstein/php files 


«Location /php-source> 
DAV On 


ForceType text/plain 
</Location> 


With this setup, http://example.com/phparea can be used to access the output of the PHP 
scripts, and http://example.com/php-source Can be used with a DAV client to manipulate 
them. 


Dav 1845 
说 明 Enable WebDAV HTTP methods 
语法 Dav On&#124;Off&#124;provider-name 
默认 值 Dav Off 
作用 域 directory 
状态 扩展 (E) 
模块 mod dav 


Use the pav directive to enable the WebDAV HTTP methods for the given container: 


«Location /foo» 


Dav On 
«/Location» 


The value on is actually an alias for the default provider filesystem which is served by the 

mod dav fs module. Note, that once you have DAV enabled for some location, it cannot be 
disabled for sublocations. For a complete configuration example have a look at the section 
above. 


Do not enable WebDAV until you have secured your server. Otherwise everyone will be able 
to distribute files on your system. 


DavDepthinfinity 1845 


说 明 Allow PROPFIND, Depth: Infinity requests 
语法 DavDepthInfinity on&#124; off 
默认 值 DavDepthInfinity off 
作用 域 server config, virtual host, directory 
状态 扩展 (E) 
模块 mod_dav 


Use the DavDepthInfinity directive to allow the processing of PRoPFIND requests 
containing the header 'Depth: Infinity'. Because this type of request could constitute a denial- 
of-service attack, by default it is not allowed. 


DavMinTimeout 指令 


说 明 Minimum amount of time the server holds a lock on a DAV resource 
语法 DavMinTimeout seconds 
默认 值 DavMinTimeout 0 


作用 域 server config, virtual host, directory 
状态 扩展 (E) 


模块 mod dav 


When a client requests a DAV resource lock, it can also specify a time when the lock will be 
automatically removed by the server. This value is only a request, and the server can ignore 
it or inform the client of an arbitrary value. 


Use the DavMinTimeout directive to specify, in seconds, the minimum lock timeout to return 
to a client. Microsoft Web Folders defaults to a timeout of 120 seconds; the DavmMinTimeout 
can override this to a higher value (like 600 seconds) to reduce the chance of the client 
losing the lock due to network latency. 


示例 


«Location /MSWord» 


DavMinTimeout 600 
«/Location» 


Apache 模 块 mod dav. fs 


说 明 为 mod_dav 访问 服务 器 上 的 文件 系统 提供 支持 
状态 扩展 (E) 
模块 名 dav fs module 
源 文件 mod dav fs.c 


概述 


This module requires the service of mod dav . It acts as a support module for mod dav and 
provides access to resources located in the server's file system. The formal name of this 
provider is filesystem . mod dav backend providers will be invoked by using the Dav 
directive: 


示例 
Dav filesystem 


Since filesystem is the default provider for mod dav , you may simply use the value on 
instead. 


DavLockDB 1&4 


说 明 Location of the DAV lock database 
语法 DavLockDB file-path 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod dav fs 


Use the pavLockog directive to specify the full path to the lock database, excluding an 
extension. If the path is not absolute, it will be taken relative to serverRoot . The 
implementation of mod dav fs uses a SDBM database to track user locks. 


示例 


DavLockDB var/DavLock 


The directory containing the lock database file must be writable by the user 和 Group under 
which Apache is running. For security reasons, you should create a directory for this 
purpose rather than changing the permissions on an existing directory. In the above 
example, Apache will create files in the var/ directory under the serverRoot with the base 
filename DavLock and extension name chosen by the server. 


Apache: mod dav lock 


说 明 为 mod dav 锁定 服务 器 上 的 文件 提供 支持 
状态 扩展 (E) 
模块 名 dav_lock_module 
源 文 件 mod dav lock.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


This module implements a generic locking API which can be used by any backend provider 
Of mod dav . It requires at least the service of mod dav . But without a backend provider 
which makes use of it, it's useless and should not be loaded into the server. A sample 
backend module which actually utilizes mod dav lock , is mod dav svn, the subversion 
provider module. 


Note that mod dav fs does not need this generic locking module, because it uses it's own 
more specialized version. 


In order to make mod dav. lock functional, you just have to specify the location of the lock 
database using the DavGenericLockpB directive described below. 


Developer's Note 


In order to retrieve the pointer to the locking provider function, you have to use the 
ap lookup provider API with the arguments dav-lock , generic 和 9 . 


DavGenericLockDB 指令 


说 明 Location of the DAV lock database 
语法 DavGenericLockDB file-path 
作用 域 server config, virtual host, directory 
状态 扩展 (E) 


模块 mod dav lock 


Use the DavGenericLockpB directive to specify the full path to the lock database, excluding 
an extension. If the path is not absolute, it will be taken relative to serverRoot . The 
implementation of mod dav lock uses a SDBM database to track user locks. 


示例 


DavGenericLockDB var/DavLock 


The directory containing the lock database file must be writable by the user 和 Group under 
which Apache is running. For security reasons, you should create a directory for this 
purpose rather than changing the permissions on an existing directory. In the above 
example, Apache will create files in the var/ directory under the serverRoot with the base 
filename pavLock and extension name chosen by the server. 


Apache mod dbd 


说 明 管理 SQL 数据 库 连 接 ， 为 需要 数据 库 功 能 的 模块 提供 支持 
状态 扩展 (E) 
模块 名 dbd module 
源 文件 mod dbd.c 


兼容 性 Version 2.1 及 以 后 的 版 本 中 可 用 


概述 


mod dbd manages SQL database connections using apr_dbd. It provides database 
connections on request to modules requiring SQL database functions, and takes care of 
managing databases with optimal efficiency and scalability for both threaded and non- 
threaded MPMs. 


Connection Pooling 


This module manages database connections, in a manner optimised for the platform. On 
non-threaded platforms, it provides a persistent connection in the manner of classic LAMP 
(Linux, Apache, Mysql, Perl/PHP/Python). On threaded platform, it provides an altogether 
more scalable and efficient connection pool, as described in this article at ApacheTutor. 
mod dbd Supersedes the modules presented in that article. 


Apache DBD API 


mod dbd exports five functions for other modules to use. The API is as follows: 


typedef struct { 
apr dbd t *handle; 
apr dbd driver t *driver; 
apr hash t *prepared; 

) ap dbd t; 


/* Export functions to access the database */ 


/* acquire a connection that MUST be explicitly closed. 
* Returns NULL on error 
a 
AP_DECLARE(ap_dbd_t*) ap_dbd_open(apr_pool_t*, server_rec*); 





/* release a connection acquired with ap_dbd_open */ 
AP_DECLARE(void) ap_dbd_close(server_rec*, ap_dbd_t*); 


/* acquire a connection that will have the lifetime of a request 
* and MUST NOT be explicitly closed. Return NULL on error. 
* This is the preferred function for most applications. 
s 

AP_DECLARE(ap_dbd_t*) ap_dbd_acquire(request_rec*); 





/* acquire a connection that will have the lifetime of a connection 
* and MUST NOT be explicitly closed. Return NULL on error. 
wa 

AP_DECLARE(ap_dbd_t*) ap dbd cacquire(request rec*); 





/* Prepare a statement for use by a client module */ 
AP DECLARE(void) ap dbd prepare(server rec*, const char*, const char*); 


/* Also export them as optional functions for modules that prefer it */ 

APR DECLARE OPTIONAL FN(ap dbd t*, ap dbd open, (apr pool t*, server rec*)); 

APR DECLARE OPTIONAL FN(void, ap dbd close, (server rec*, ap dbd t*)); 

APR DECLARE OPTIONAL FN(ap dbd t*, ap dbd acquire, (request rec*)); 

APR DECLARE OPTIONAL FN(ap dbd t*, ap dbd cacquire, (conn rec*)); 

APR DECLARE OPTIONAL FN(void, ap dbd prepare, (server rec*, const char*, const char*)); 


l| m-———— aS ———c— —soeonanmmsement: 











SQL Prepared Statements 


mod dbd supports SQL prepared statements on behalf of modules that may wish to use 
them. Each prepared statement must be assigned a name (label), and they are stored in a 
hash: the prepared field of an ap dbd t . Hash entries are of type apr dbd prepared t and 
can be used in any of the apr. dbd prepared statement SQL query or select commands. 


It is up to dbd user modules to use the prepared statements and document what statements 
can be specified in httpd.conf, or to provide their own directives and use ap dbd prepare . 


DBDExptime 184: 


说 明 Keepalive time for idle connections 


语法 DBDExptime time-in-seconds 
作用 域 server config, virtual host 
状态 扩展 (E) 

模块 mod_dbd 


Set the time to keep idle connections alive where the number of connections specified in 
DBDKeep has been exceeded (threaded platforms only). 


DBDKeep #83 


说 明 Maximum sustainednumber of connections 
语法 DBDKeep number 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod_dbd 


Set the maximum number of connections per process to be sustained, other than for 
handling peak demand (threaded platforms only). 


DBDMax 1&4 


说 明 Maximum number of connections 
语法 DBDMax number 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod dbd 


Set the hard maximum number of connections per process (threaded platforms only). 


DBDMin 1&4 


说 明 Minimum number of connections 


语法 DBDMin number 

作用 域 server config, virtual host 
状态 扩展 (E) 

模块 mod dbd 


Set the minimum number of connections per process (threaded platforms only). 


DBDParams 184i 


说 明 Parameters for database connection 
语法 DBDParams parami-valuei[, param2=value2] 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod dbd 


As required by the underlying driver. Typically this will be used to pass whatever cannot be 
defaulted amongst username, password, database name, hostname and port number for 
connection. 


DBDPersist 184; 


说 明 Whether to use persistent connections 
语法 DBDPersist 084124;1 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod dbd 


If set to 0, persistent and pooled connections are disabled. A new database connection is 
opened when requested by a client, and closed immediately on release. This option is for 
debugging and low-usage servers. 


The default is to enable a pool of persistent connections (or a single LAMP-style persistent 
connection in the case of a non-threaded server), and should almost always be used in 
operation. 


DBDPrepareSQL i84 


36 BB Define an SQL prepared statement 
语法 DBDPrepareSQL "SQL statement" label 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod dbd 


For modules such as authentication that use repeatedly use a single SQL statement， 
optimum performance is achieved by preparing the statement at startup rather than every 
time it is used. This directive prepares an SQL statement and assigns it a label. 


DBDriver 指令 


说 明 Specify an SQL driver 
语法 DBDriver name 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod dbd 


Selects an apr_dbd driver by name. The driver must be installed on your system (on most 
systems, it will be a shared object or dll). For example, pBbriver mysql will select the 
MySQL driver in apr dbd mysgql.so. 


Apache +} mod deflate 


Dt BH 压缩 发 送 给 客户 端的 内 容 
状态 扩展 (E) 
模块 名 deflate module 
源 文件 mod deflate.c 


mod deflate 模块 提供 了 pEFLATE {WW yess, JULYRBR A RETE AUSEIYÉSIS P umb BU St 
行 压 缩 ， 以 节约 带宽 。 


配置 举例 
这 是 一 个 针对 心急 者 的 示范 配置 : 


仅仅 压缩 少数 几 种 类 型 


AddOutputFilterByType DEFLATE text/html text/plain text/xml 
以 下 人 允许 压缩 更 多 内 容 的 配置 更 加 复杂 。 除 非 你 明白 所 有 的 配置 细节 ， 否 则 请 不 要 使 用 。 


Compress everything except images 


«Location /» 
# 插入 过 滤器 
SetOutputFilter DEFLATE 
# Netscape 4.x 有 一 些 问题 . . . 
BrowserMatch ^Mozilla/4 gzip-only-text/html 
# Netscape 4.06-4.08 有 更 多 的 问题 
BrowserMatch ^Mozilla/4*.0[678] no-gzip 
# MSIE 会 伪装 成 Netscape ， 但 是 事实 上 它 没有 问题 
BrowserMatch NbMSIE !no-gzip !gzip-only-text/html 
# 不 压缩 图 片 
SetEnvIfNoCase Request URI \ 
N.(?:gif|jpe?g|png)$ no-gzip dont-vary 
# 确保 代理 不 会 发 送 错误 的 内 容 


Header append Vary User-Agent env=!dont-vary 
</Location> 


压缩 是 由 DEFLATE 过 滤器 实现 的 。 下 面 的 指令 会 对 其 所 在 容器 中 的 文档 启用 压缩 : 


SetOutputFilter DEFLATE 


一 些 流行 的 浏览 器 不 能 正确 处 理 所 有 压缩 内 容 ， 因 此 你 可 能 需要 将 gzip-only-text/html 标记 
设 为 " 1 "来 仅仅 允许 压缩 html 文 件 ( 见 下 面 )。 如 果 你 设置 了 " 1 以 外 的 任何 值 ， 都 将 被 忽略 。 


如 果 你 想 将 压缩 限制 在 几 种 特定 的 MIME 类 型 上 ， 可 以 使 用 AddoutputFilterByType 指令 。 下 
面 的 例子 公信 允许 对 html 文 档 进行 压 缩 


<Directory "/your-server-root/manual"> 


AddOutputFilterByType DEFLATE text/html 
«/Directory» 


对 于 那些 不 bE 正确 人 处理 所 有 不 压缩 内 容 的 济 览 器 ， 可 以 使 用 BrowserMatch HES 针对 特定 的 浏 览 
器 设置 no-gzip 标记 以 取消 压缩 。 为 了 取得 更 好 的 效果 ， 你 可 以 

将 no-gzip 和 gzip-only-text/html 配合 使 用 。 在 这 种 情况 下 ， 下 面 的 设置 将 会 覆盖 上 面 的 设 
置 。 看 看 从 配置 示例 中 摘录 的 片断 : 


BrowserMatch ^Mozilla/4 gzip-only-text/html 
BrowserMatch AMozilla/4\.0[678] no-gzip 


BrowserMatch NbMSIE !no-gzip !gzip-only-text/html 


第 一 条 指使 表示 如 果 user-agent 字符 串 表 示 它 是 一 个 Navigator 4.x 的 浏览 器 ， 这 种 浏览 器 不 
能 正确 处 理 除 text/html CARTE E 114.06, 4.07, 4.08 版 的 Navigator 完 全 不 能 义理 任 
何 压 缩 内 容 ， 因 此 第 二 条 指令 对 这 些 浏 览 器 完全 禁用 压缩 。 


第 三 个 BrowserMatch 指令 修正 了 上 面 两 条 对 浏览 器 的 推测 ， 为 微软 的 上 也 将 它 自己 标识 
成 "Mozilla/4" 但 是 它 实 际 上 能 够 处 理 所 有 的 压缩 内 容 。 se eee User-Agent 头 中 额外 匹配 了 
字符 串 "MSIE"(”\b "表示 "单词 边界 ")， 并 且 取 消 了 前 面 的 限制 。 


NE 
LERRA 


DEFLATE 过 滤器 总 是 在 类 似 于 PHP 或 SSI 之 类 的 资源 过 滤器 之 后 插入 ， 它 永远 不 会 触及 到 内 部 


请 求 。 


3+ =a 
/ 工 局 


通过 setenv 设置 force-gzip 环境 变量 将 会 忽略 浏览 器 的 "accept-encoding"， 始 终 发 送 经 过 
Æ 


缩 的 内 容 。 


输出 解压 


mod deflate 模块 还 提供 了 一 个 解压 gzip 格 式 的 应 答 体 的 功能 。 为 了 激活 这 个 特性 你 必须 使 
用 setoutputFilter 或 AddoutputFilter 指令 将 INFLATE 过 滤器 插入 到 输入 过 滤器 链 : 


«Location /dav-area> 
ProxyPass http://example.com/ 


SetOutputFilter INFLATE 
</Location> 


这 个 例子 将 会 解压 来 自 example.com 的 输出 ， 这 样 其 它 过 滤器 就 可 以 做 进一步 的 处 理 了 。 


输入 解压 


mod deflate 模块 还 提供 了 一 个 解压 gzip 格 式 的 请 求 体 的 功能 。 为 了 激活 这 个 特性 你 必须 使 
用 setinputFilter 或 AddInputrilter 指令 将 pEFLATE 过 滤器 插入 到 输入 过 滤器 链 。 例 如 : 


«Location /dav-area» 


SetInputFilter DEFLATE 
</Location> 


这 样 ， 如 果 包 含 " content -Encoding: gzip " 头 的 请 求 体 将 会 被 自动 解压 。 极 少 有 浏览 器 压缩 请 
求 体 。 然 而 有 些 程序 的 确 这 么 做 了 ， 上 比如 一 些 WebDAV 客 户 端 程序 。 

VN E 

"Ez Content-Length 

如 果 你 自己 义理 请 求 体 ， 请 注意 Content -Length 头 仅 仅 表 示 客 户 端 输 入 的 数据 长 度 ， 而 不 是 
解压 后 的 实际 数据 长 度 。 


代理 服务 妖 


mod deflate 模块 发 送 一 个 " vary: Accept-Encoding "HTTP 应 答 头 以 提醒 代理 服务 器 : 只 对 发 
送 了 正确 " Accept-Encoding " 头 的 客户 端 发 送 缓存 的 应 答 。 这 样 可 以 防止 不 能 正确 处 理 压 缩 内 
容 的 浏览 器 接受 到 经 过 压缩 的 内 容 。 


如 果 你 按照 某 些 特殊 的 条 件 拒绝 了 某 些 客户 端的 访问 (比如 user-agent 头 )， 你 必须 手动 配置 
一 个 额外 的 vary 头 提 醒 代 理 服 务 器 做 额外 的 限制 。 比 如 ， 在 一 个 典型 的 配置 中 的 某 处 ， 如 果 
额外 的 DEFLATE 过 滤器 是 否 生效 取决 于 user-agent 头 ， 你 应 当 在 此 多 添加: 


Header append Vary User-Agent 


如 果 依 照 除 请 求 头 以 外 的 其 他 条 件 决 定 是 否 使 用 压缩 (例如 : HTTP 版 本 )， 你 必须 设 
iB vary 头 的 值 为 " * "来 完全 阻止 代理 服务 器 的 缓存 。 


示例 


Header set Vary * 


DeflateBufferSize 1&4 


说 明 用 于 zlib 一 次 压缩 的 片断 大 小 ( 字 节 ) 


语法 DeflateBufferSize value 
默认 值 DeflateBufferSize 8096 
作用 域 server config, virtual host 
状态 扩展 (E) 

模块 mod_deflate 


DeflateBuffersize 指令 定义 了 zlib 一 次 压缩 的 片断 的 字 节 数 。 


DeflateCompressionLevel 


说 明 将 输出 内 容 压缩 的 程度 
语法 DeflateCompressionLevel value 
默认 值 Z1ib 的 默认 值 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod deflate 
兼容 性 仅 在 Apache 2.0.45 及 以 后 的 版 本 中 可 用 


DeflateCompressionLevel 指令 设置 压缩 程度 ， 越 高 的 压缩 程度 就 会 有 越 好 的 压缩 效果 ， 同 时 
也 意味 着 占用 越 多 的 CPU 资 ; Io 


取 值 范围 在 1( 最 低压 缩 率 ) 到 9( 最 高 压缩 率 ) 之 间 。 


DeflateFilterNote 


说 明 在 日 志 中 放置 压缩 率 标记 
m DeflateFilterNote [type] notename 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod deflate 
兼容 性 type 仅 在 2.0.45 以 后 版 本 中 可 用 


DeflateFilterNote 指使 指定 将 一 个 指示 不 缩 率 的 标记 附加 在 请 求 之 后 。notename 就 表示 这 
个 标记 的 名 字 。 你 可 以 为 了 某 种 统计 目的 将 这 个 标记 的 名 字 添 加 到 访问 日 志 


示例 


DeflateFilterNote ratio 
LogFormat '"%r" 96b (%{ratio}n) "%{User-agent}i"' deflate 


CustomLog logs/deflate_log deflate 


如 果 你 想 从 日 志 中 得 到 更 多 精确 的 数据 ， 可 以 使 用 type 参 数 指定 notename 标 记 所 记录 的 数据 
类 型 。type 的 取 值 范围 如 下 : 

Input 

在 标记 中 存储 过 滤器 输入 流 的 字 节 数 。 

Output 

在 标记 中 存储 过 滤器 输出 流 的 字 节 数 。 

Ratio 

在 标记 中 存储 过 滤器 的 压缩 比 ( 输出 /输入 *196 )。 这 是 type 的 默认 值 。 


于 是 ， 就 可 以 这 样 记录 : 
Accurate Logging 


DeflateFilterNote Input instream 

DeflateFilterNote Output outstream 

DeflateFilterNote Ratio ratio 

LogFormat '"%r" %{outstream}n/%{instream}n (%{ratio}n%%)' deflate 


CustomLog logs/deflate_log deflate 


y 


pU 


@ mod_log_config 


DeflateMemLevel 1&4 


说 明 zlib 在 压缩 时 最 多 可 以 使 用 多 少 内 存 
语法 DeflateMemLevel value 
默认 值 DeflateMemLevel 9 
作用 域 server config, virtual host 
TAS 扩展 (E) 
模块 mod deflate 


DeflateMemLevel 指令 指定 zlib 在 压缩 时 最 多 可 以 使 用 多 少 内 存 ( 取 值 范 围 在 1 到 9 之 间 Jo 


DeflateWindowSize 指令 


说 明 Zlib Æ #324 O (compression window) 的 大 小 
语法 DeflateWindowSize value 
默认 值 DeflatewindowSize 15 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod deflate 


DeflateWindowSize #8 it JE Zlib 7 & O (compression window) 的 大 小 ( 取 值 范围 在 1 到 15 之 
间 )。 通 常 窗 口 越 大 压缩 效果 越 好 。 


Apache 模 块 mod dir 
指定 目录 索引 文件 以 及 为 目录 提供 " 尾 斜 杠 " 重 定向 


说 明 
状态 基本 (B) 
模块 名 dir module 
源 文件 mod dirc 


概述 
目录 的 索引 可 以 有 两 个 来 源 : 


. 一 个 由 用 户 编写 的 文件 ， 通常 叫 : index.html 。 


于 设置 这 个 文件 名 。 
e 由 服务 器 产生 的 一 个 列表 。 该 功能 由 mod autoindex 提供 。 


mod dir 提供 的 DirectoryIndex ESHA 


这 两 个 功能 是 相互 独立 的 ， 所 以 你 可 以 完全 去 除 或 替换 索引 的 自动 生成 。 
因为 对 目录 的 请 求 需 要 以 一 个 "结尾 ， 所 以 当 服 务 器 接收 到 对 


http://servername/foo/dirname 的 请 求 时 ， 若 dirname 是 一 个 目 录 ， 则 mod dir 将 会 将 其 重 


定向 到 http://servername/foo/dirname/ o 


DirectoryIndex 指 今 
当 客户 端 请 求 一 个 目录 时 寻找 的 资源 列表 


说 明 
语法 DirectoryIndex local-url [local-url] ... 
默认 值 DirectoryIndex index.html 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 
状态 基本 (B) 
模块 mod dir 


bA st 


DirectoryIndex 指令 设置 了 当 客 户 端 在 请 求 的 目录 名 的 末尾 刻意 添加 一 个 "以 表示 请 求 该 目 
录 的 索引 时 ， 服 务 器 需要 寻找 的 资源 列表 。Local-url(% 已 解码 的 ) 是 一 个 相对 于 被 请 求 目录 的 
文档 的 URL( 通 常 是 那个 目录 中 的 一 个 文件 )。 可 以 指定 多 个 URL， 服 务 器 将 返回 最 先 找 到 的 那 
一 个 也 没有 找到 ， 并 且 那 个 目 录 设 置 了 Indexes 选项 ， 服务 器 将 会 自 动产 生 一 个 那 


一 个 。 若 


lo 


个 目录 中 的 资源 列表 。 


示例 


DirectoryIndex index.html 


上 例 配 置 指 示 对 http://myserver/docs/ 的 请 青 求 返回 http://myserver/docs/index.html ( 若 存 
在 )， 或 返回 该 目录 下 所 有 资源 的 列表 。 


注意 ， 指 定 的 文档 不 一 定 必须 位 于 被 请 求 的 目录 下 ， 也 可 以 指定 一 个 绝对 URL 来 指向 其 他 位 


DirectoryIndex index.html index.txt  /cgi-bin/index.pl 


这 样 的 设置 将 导致 在 index.html 或 index.txt 都 不 存在 的 情况 下 执行 CGI 脚 
本 /cgi-bin/index.pl o 


DirectorySlash 


说 明 打开 或 关闭 目录 结尾 斜 线 (/) 自 动 补 全 功能 
语法 DirectorySlash 0n&4124;0ff 
默认 值 DirectorySlash On 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 
状态 基本 (B) 
模块 mod_dir 
兼容 性 仅 在 Apache 2.0.51 及 以 后 的 版 本 中 可 用 


Directoryslash 指 RE mod _dir 是 否 通 过 在 请 青 求 的 URLz 吉 尾 补 上 "/" 使 其 重 定向 到 其 所 指向 
的 目录 。 


典型 的 ， 如 果 用 户 请 求 一 个 结尾 没有 "/" 的 资源 ， 并 且 该 资源 指向 一 个 目录 ， moa dir 将 通过 
在 请 求 的 URL 结 尾 补 上 "/" 使 其 重 定向 到 其 所 指向 的 目录 。 默 认 开 启 自 动 补 全 功能 有 以 下 原 
: 


。 用 户 最 后 使 用 了 规范 的 URL 来 请 求 资 

e mod_autoindex 将 会 正确 工作 。 因 为 ERA SASHE, 所 以 将 会 指向 错误 的 路 径 。 
e DirectoryIndex 将 只 评估 有 "结尾 的 目录 。 

。 html 页 面 中 的 相对 URL 引 用 将 会 正确 工作 。 


如 果 你 不 希望 这 个 自动 补 全 功能 生效 ， 并 且 不 在 乎 上 述 原 因 ， 你 可 以 关闭 它 


# 请 参见 下 面 的 安全 警告 
«Location /some/path> 


DirectorySlash Off 


SetHandler some-handler 
«/Location» 


关闭 目录 自动 重 定向 可 能 会 导致 信息 泄漏 。 考 虑 mod_autoindex 被 激活 ( Options «Indexes )Jf 


且 DirectoryIndex 也 正确 设置 到 一 个 资源 (比如 : index.html ) 同 时 没有 其 他 处 理 器 用 于 URL 
的 情况 。 此 时 ， 以 "结尾 的 URL 将 得 到 index.html 文件 ， 而 不 以 "1" 结 尾 的 请 求 籽 得 到 目录 列 
表 。 


Apache 模 块 mod disk cache 


说 明 基于 磁盘 的 缓冲 管理 器 
状态 扩展 (E) 
模块 名 disk cache module 
源 文件 mod disk_cache.c 


概述 


mod disk cache implements a disk based storage manager. It is primarily of use in 
conjunction mod cache . 


Content is stored in and retrieved from the cache using URI based keys. Content with 
access protection is not cached. 


htcacheclean can be used to maintain the cache size at a maximum level. 


MIL 
LEA : 


mod disk cache requires the services of mod cache . 


CacheDirLength 1&4 


说 明 The number of characters in subdirectory names 
语法 CacheDirLength length 
默认 值 CacheDirLength 2 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod_disk_cache 


CacheDirLength directive sets the number of characters for each subdirectory name in the 
cache hierarchy. 


The result of cacheDirLevels * CacheDirLength must not be higher than 20. 


CacheDirLength 4 


CacheDirLevels 1&4 


说 明 The number of levels of subdirectories in the cache. 
语法 CacheDirLevels levels 
默认 值 CacheDirLevels 3 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod disk cache 


CacheDirLevels directive sets the number of subdirectory levels in the cache. Cached data 
will be saved this many directory levels below the cacheRoot directory. 


The result of cacheDirLevels * CacheDirLength must not be higher than 20. 


CacheDirLevels 5 


CacheMaxFileSize 指令 


说 明 The maximum size (in bytes) of a document to be placed in the cache 
语法 CacheMaxFileSize bytes 
默认 值 CacheMaxFileSize 1000000 


作用 域 ^ server config, virtual host 
KA 扩展 (E) 


模块 mod disk cache 


CacheMaxFilesize directive sets the maximum size, in bytes, for a document to be 
considered for storage in the cache. 


CacheMaxFileSize 64000 


CacheMinFileSize 1&4 


说 明 The minimum size (in bytes) of a document to be placed in the cache 
语法 CacheMinFileSize bytes 
默认 值 CacheMinFileSize 1 
作用 域 ^ server config, virtual host 
状态 扩展 (E) 
模块 mod disk_cache 


CacheMinFilesize directive sets the minimum size, in bytes, for a document to be 
considered for storage in the cache. 


CacheMinFileSize 64 


CacheRoot 指令 


说 明 The directory root under which cache files are stored 
语法 CacheRoot directory 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod disk cache 


CacheRoot directive defines the name of the directory on the disk to contain cache files. If 
the mod disk cache module has been loaded or compiled in to the Apache server, this 
directive must be defined. Failing to provide a value for cacheRoot will result in a 
configuration file processing error. The cacheDirLevels 和 CacheDirLength directives define 
the structure of the directories under the specified root directory. 


CacheRoot c:/cacheroot 


Apache 模 块 mod dumpio 


说 明 将 所 有 I/O 操 作 转 储 到 错误 日 志 
状态 扩展 (E) 
模块 名 dumpio_module 
源 文 件 mod_dumpio.c 


概述 
mod dumpio 人 允许 你 记录 所 有 Apache 接 收 到 的 输入 和 发 送 的 输出 到 错误 日 志 (通常 是 error.log) 
中 。 


记录 数据 的 时 刻 被 设计 为 恰好 发 生 在 SSL 解 码 ( 输 入 ) 之 后 和 和 SSL 编码 之 前 (输出 )。 正 如 你 所 预 
料 到 的 ， 这 么 做 会 导致 在 日 志 中 写 入 及 其 海量 的 数据 ， 只 建议 你 在 发 现 问题 并 进行 调试 的 时 
候 使 用 。 


启用 dumpio 支 持 


要 启用 这 个 模块 ， 必 须 先 编译 完成 它 ， 然 后 在 配置 文件 中 加 载 ， 然 后 用 下 面 列 出 的 指 邻 启用 
或 者 禁用 记录 功能 。 


DumplOInput 184 


说 明 将 所 有 输入 的 内 容 记 录 到 错误 日 志 
语法 DumpIOInput On&#124; Off 
默认 值 DumpIOInput Off 
作用 域 server config 
状态 扩展 (E) 
模块 mod dumpio 
兼容 性 仅 在 Apache 2.1.3 及 以 后 的 版 本 中 可 用 


将 所 有 输入 的 内 容 记 录 到 错 i 误 日 志 


示例 


DumpIOInput On 


DumplOOutput 184: 


说 明 将 所 有 输出 的 内 容 记 录 到 错误 日 志 
语法 DumpIOOutput On&#124; Off 
默认 值 DumpIOOutput Off 
作用 域 server config 
状态 扩展 (E) 
模块 mod _ dumpio 
兼容 性 仅 在 Apache 2.1.3 及 以 后 的 版 本 中 可 用 


将 所 有 输出 的 内 容 记 录 到 错误 日 志 中 


示例 


DumplIOOutput On 


Apache 模 块 mod echo 


说 明 一 个 很 简单 的 协议 演示 模块 
状态 实验 (X) 
模块 名 echo_module 
源 文件 mod echo.c 
兼容 性 仅 在 Apache 2.0 及 以 后 的 版 本 中 可 用 


概述 


This module provides an example protocol module to illustrate the concept. lt provides a 
simple echo server. Telnet to it and type stuff, and it will echo it. 


ProtocolEcho 1&4 


说 明 Turn the echo server on or off 
语法 ProtocolEcho 0n&#124;0ff 
作用 域 server config, virtual host 
状态 实验 (X) 
模块 mod echo 
兼容 性 ProtocolEcho is only available in 2.0 及 以 后 的 版 本 中 可 用 


ProtocolEcho directive enables or disables the echo server. 


示例 


ProtocolEcho On 


Apache 模 块 mod env 


说 明 允许 Apache 修 改 或 清除 传送 到 CGI 脚本 和 SSI 页 面 的 环境 变量 
状态 基本 (B) 
模块 名 env_module 


源 文件 mod env.c 


概述 


本 模块 用 于 控制 传送 给 CGI 脚本 和 SSI 页 面 的 环境 变量 。 所 传送 的 环境 变量 可 以 来 自 调 
用 httpd 进程 的 shell ， 或 者 来 自在 配置 过 程 中 所 设 定 (set) 或 撤销 (unset) 的 变量 。 


PassEnv 指令 


说 明 传送 shell 中 的 环境 变量 
语法 PassEnv env-variable [env-variable] ... 
作用 域 server config, virtual host, directory, .htaccess 
fe Filelnfo 
状态 基本 (B) 
模块 mod env 


从 调用 httpd 进程 所 在 的 shell 中 ， 指 定 一 个 或 者 更 多 个 环境 变量 ， 传 送 到 CGI 脚本 和 SSI| 页 
面 。 例 如 : 


示例 


PassEnv LD LIBRARY PATH 


SetEnv 1E 


3t BH 设置 环境 变量 


EG SetEnv env-variable value 

作用 域 server config, virtual host, directory, .htaccess 
Emi Filelnfo 

状态 基本 (B) 

模块 mod env 


设置 一 个 环境 变量 ， 该 变量 将 会 传送 到 CGI 脚本 和 SSI 页 面 。 例 如 : 


示例 


SetEnv SPECIAL PATH /foo/bin 


UnsetEnv i184 


说 明 删除 一 个 环境 变量 
me UnsetEnv env-variable [env-variable] ... 
作用 域 server config, virtual host, directory, .htaccess 
Emi Filelnfo 
状态 基本 (B) 
模块 mod env 


在 传送 到 CGI 脚本 和 SSI 页 面 的 环境 中 ， 删 除 一 个 或 者 多 个 环境 变量 。 例 如 : 


示例 


UnsetEnv LD LIBRARY PATH 


Apache 模 块 mod example 


说 明 一 个 很 简单 的 Apache 模 块 API 演 示 模 块 
状态 实验 (X) 
模块 名 example module 
源 文件 mod example.c 


概述 


Some files in the modules/experimental directory under the Apache distribution directory 
tree are provided as an example to those that wish to write modules that use the Apache 
API. 


The main file is mod example.c , which illustrates all the different callback mechanisms and 
call syntaxes. By no means does an add-on module need to include routines for all of the 
callbacks - quite the contrary! 


The example module is an actual working module. If you link it into your server, enable the 
"example-handler" handler for a location, and then browse to that location, you will see a 
display of some of the tracing the example module did as the various callbacks were made. 


Compiling the example module 


To include the example module in your server, follow the steps below: 


1. Run configure with --enable-example option. 
2. Make the server (run " make "). 


To add another module of your own: 


1. cp modules/experimental/mod_example.c modules/new_module/_mod_myexample.c_ 
2. Modify the file. 
3. Create modules/new_module/config.m4 . 

i. Add APACHE_MODPATH_INIT(new_module) . 

ii. Copy APACHE MODULE line with "example" from 

modules/experimental/config.m4 . 
iii. Replace the first argument "example" with myexample. 
iv. Replace the second argument with brief description of your module. It will be used 


in configure --help . 


v. If your module needs additional C compiler flags, linker flags or libraries, add them 
to CFLAGS, LDFLAGS and LIBS accordingly. See other config.m4 files in 
modules directory for examples. 

Vi. Add APACHE MODPATH FINISH . 

4. Create module/new module/Makefile.in .lf your module doesn't need special build 
instructions, all you need to have in that file is include $(top srcdir)/build/special.mk . 

5. Run ./buildconf from the top-level directory. 

6. Build the server with --enable-myexample 


Using the mod example Module 


To activate the example module, include a block similar to the following in your httpd.conf 
file: 


«Location /example-info> 
SetHandler example-handler 


«/Location» 


As an alternative, you can put the following into a .ntaccess file and then request the file 
"test.example" from that location: 


AddHandler example-handler .example 


After reloading/restarting your server, you should be able to browse to this location and see 
the brief display mentioned earlier. 


Example 18 4 


说 明 Demonstration directive to illustrate the Apache module API 
语法 Example 
作用 域 server config, virtual host, directory, .htaccess 
状态 实验 (X) 
模块 mod example 


Example directive just sets a demonstration flag which the example module's content 
handler displays. It takes no arguments. If you browse to an URL to which the example 
content-handler applies, you will get a display of the routines within the module and how and 


in what order they were called to service the document request. The effect of this directive 
one can observe under the point " Example directive declared here: YES/NO ". 


Apache 模 块 mod expires 


说 明 人 允许 通过 配置 文件 控制 HTTP 的 " Expires "f" cache-control "LAF 
状态 扩展 (E) 
模块 名 expires_module 


源 文件 mod expires.c 


概述 
这 个 模块 控制 服务 器 应 答 时 的 Expires 头 内 容 和 cache-control 头 的 max-age 指令 。 有 效 期 
(expiration date) 可 以 设置 为 相对 于 源 文 件 的 最 后 修改 时 刻 或 者 客户 端的 访问 时 刻 。 


些 HTTP 头 向 客户 端 表 明了 文档 的 有 效 性 和 持久 性 。 如 果 有 缓存 ， 文 档 就 可 以 从 缓存 ( 除 已 
过 期 ) 而 不 是 从 服务 器 读 取 。 接 着 ， 客 户 端 考察 缓存 中 的 副本 ， 看 看 是 否 过 期 或 者 失效 ， 以 
决定 是 否 必须 从 服务 器 获得 更 新 。 


这 
经 
要 修改 cache-control 头 中 max-age (参见 RFC 2616 section 14.9) 项 之 外 的 内 容 ， 你 还 可 以 使 


用 Header HS. 


Alternate( 交 蔡 / 轮 流 ) Interval( jj ba) Syntax( 语 法 ) 


ExpiresDefault 和 ExpiresByType 指令 同样 能 够 用 易 懂 的 语法 格式 进行 定义 : 





ExpiresDefault "<base> [plus] {<num> 
<type>}*" 


ExpiresByType type/encoding "«base» [plus] 
{<num> <type>}*" 


其 中 <base> 是 下 列 之 一 : 


@ access 
* now (等 价 于 ' access ') 


* modification 


plus 关键 字 是 可 选 的 。<num> 必 须 是 整数 [可 以 被 atoi() 接受 的 ]，<type> 是 下 列 之 一 : 


* years 
* months 
* weeks 


* days 


* hours 
* minutes 


* seconds 


例如 ， 下 列 3 个 指 爸 都 表示 文档 默认 的 有 效 期 是 一 个 月 : 


ExpiresDefault "access plus 1 month" 
ExpiresDefault "access plus 4 weeks" 


ExpiresDefault "access plus 30 days" 


有 效 期 可 以 通过 增加 "<num> <type>" 子 句 进一步 调整 : 


ExpiresByType text/html "access plus 1 month 15 
days 2 hours" 


ExpiresByType image/gif "modification plus 5 hours 3 
minutes" 


注意 ， 如 果 你 使 用 基于 最 后 修改 日 期 的 设置 ，"Expires:" 头 将 不 会 被 添加 到 那些 并 非 来 自 于 磁 
盘 文件 的 内 容 。 这 是 因为 这 些 内 容 并 不 存在 "最 后 修改 时 间 " 的 属性 。 


ExpiresActive #33 


说 明 启用 或 禁用 产生 " Expires: "f" cache-control: " 头 的 功能 
语法 ExpiresActive On&#124; Off 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 
状态 扩展 (E) 
模块 mod expires 


这 个 指令 对 其 作用 范围 内 的 文档 启用 或 禁用 产生 Expires 和 cache-control 头 的 功能 。 若 设置 
为 off 则 不 会 为 其 作用 范围 内 的 任何 文档 生成 Expires 和 Cache-Control 头 (除非 被 更 低 一 层 
的 规则 改 宇 ， 比 如 .ntaccess 文件 )。 若 设置 为 on 则 会 按 

照 ExpiresByType 和 ExpiresDefault 指令 定义 的 标准 为 其 作用 范围 内 的 文档 生 


成 Expires 和 cache-control 头 。 


agn Expires EX Cache-Control 头 一 定 会 产生 。 如 果 定 义 的 标准 不 规范 ， 
头 ， 其 效果 是 好 像 从 未 设置 过 这 个 指令 一 样 。 


ExpiresByType 


说 明 由 MIME 类 型 配置 的 Expires 头 的 值 


语法 ExpiresByType MIME-type &lt;code&gt;seconds 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 

Ts 扩展 (E) 

模块 mod_expires 


这 个 指令 定义 了 为 指定 MIME 类 型 的 文档 (如 text/html ) 生 成 的 Expires 头 的 值 

和 Cache-Control 头 的 max-age JH T. seconds 参 数 设 置 了 添加 到 基准 时 间 以 构造 有 效 期 限 的 
秒 数 。 Cache-Control: max-age 的 计算 方法 是 从 有 效 期 减 去 当前 请 求 时 间 并 转化 为 秒 数 。 
基准 时 刻 可 以 是 源 文件 的 最 后 修改 时 刻 或 者 客户 端 对 源 文 件 的 访问 时 刻 ， 至 于 使 用 那 一 个 则 
由 <code> 指定 。" M "表示 源 文件 的 最 后 修改 时 刻 ，" A "表示 客户 端 对 源 文 件 的 访问 时 刻 。 需 
要 注意 的 是 <code> 和 seconds 之 间 没 有 空格 。 

这 两 种 基准 的 差别 是 很 微妙 的 。 如 果 使 用 " nm"， 所 有 当前 缓存 中 的 文档 副本 都 将 在 同一 时 刻 
过 期 ， 这 个 可 能 对 定期 更 新 的 URL( 比 如 位 于 同一 位 置 的 每 周 通告 ) 很 有 好 人 处。 如 果 使 用 " A", 
则 每 个 客户 端 所 得 到 的 有 效 期 是 不 一 样 的 ， 这 个 可 能 对 那些 几乎 不 更 新 的 图 片 文 件 很 有 好 
处 ， 特 别 是 对 于 一 组 都 引用 了 相同 图 片 的 相关 文档 。 


示例 : 


# 启用 有 效 期 控制 

ExpiresActive On 

# GIF 有 效 期 为 1 个 月 

ExpiresByType image/gif A2592000 

# _ HTML 文档 的 有 效 期 是 最 后 修改 时 刻 后 的 一 星期 


ExpiresByType text/html M604800 


注意 ， 这 个 指令 只 有 在 " Expiresactive on "的 条 件 下 才 有 效 。 它 只 对 指定 的 MIME 类 型 文档 改 
"EH ExpiresDefault 指令 设置 的 有 效 期 。 


你 也 可 以 使 用 前 面 讲述 的 alternate syntax 指 定 有 效 期 的 计算 方法 。 


ExpiresDefault 指 今 


说 明 默认 有 效 期 的 计算 方法 


语法 ExpiresDefault &lt;code&gt;seconds 

作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Indexes 

状态 扩展 (E) 

模块 mod_expires 


该 指令 设置 了 其 作用 范围 内 的 所 有 文档 的 黑 认 有 效 期 的 计算 方法 ， 它 可 以 被 ExpiresByType 指 
今 基于 MIME 类 型 被 改写 。 详 情 请 参见 ExpiresByType 指令 和 那个 alternate syntax 的 描述 。 


Apache 模 块 mod ext filter 


说 明 使 用 外 部 程序 作为 过 滤器 
状态 扩展 (E) 
模块 名 ext filter module 
源 文件 mod ext filter.c 


mod ext filter presents a simple and familiar programming model for it 3225. With this 
module, a program which reads from stdin and writes to stdout (i.e., a Unix-style filter 
command) can be a filter for Apache. This filtering mechanism is much slower than using a 
filter which is specially written for the Apache API and runs inside of the Apache server 
process, but it does have the following benefits: 


e the programming model is much simpler 

e any programming/scripting language can be used, provided that it allows the program to 
read from standard input and write to standard output 

e existing programs can be used unmodified as Apache filters 


Even when the performance characteristics are not suitable for production use, 
mod ext filter can be used as a prototype environment for filters. 


Examples 


Generating HTML from some other type of response 


mod ext filter directive to define a filter 
# to HTML-ize text/c files using the external 
# program /usr/bin/enscript, with the type of 
# the result set to text/html 
ExtFilterDefine c-to-html mode=output \ 
intype=text/c outtype-text/html \ 
cmd="/usr/bin/enscript --color -W html -Ec -o - -" 
<Directory "/export/home/trawick/apacheinst/htdocs/c"> 
# core directive to cause the new filter to 
# be run on output 
SetOutputFilter c-to-html 
# mod_mime directive to set the type of .c 
# files to text/c 
AddType text/c .c 
# mod_ext_filter directive to set the debug 
# level just high enough to see a log message 
# per request showing the configuration in force 


ExtFilterOptions DebugLevel=1 
</Directory> 


Implementing a content encoding filter 


Note: this gzip example is just for the purposes of illustration. Please refer to mod deflate 
for a practical implementation. 


# mod_ext_filter directive to define the external filter 
ExtFilterDefine gzip mode=output cmd=/bin/gzip 
<Location /gzipped> 
# core directive to cause the gzip filter to be 
# run on output 
SetOutputFilter gzip 
# mod_header directive to add 
# "Content-Encoding: gzip" header field 


Header set Content-Encoding gzip 
</Location> 


Slowing down the server 


# mod ext filter directive to define a filter 
# which runs everything through cat; cat doesn't 
# modify anything; it just introduces extra pathlength 
# and consumes more resources 
ExtFilterDefine slowdown mode-output cmd-/bin/cat \ 
preservescontentlength 
«Location /» 
# core directive to cause the slowdown filter to 
# be run several times on output 
# 


SetOutputFilter slowdown; slowdown; slowdown 
</Location> 


Using sed to replace text in the response 


# mod_ext_filter directive to define a filter which 

# replaces text in the response 

# 

ExtFilterDefine fixtext mode=output intype=text/html \ 
cmd="/bin/sed s/verdana/arial/g" 

<Location /> 
# core directive to cause the fixtext filter to 

# be run on output 


SetOutputFilter fixtext 
</Location> 


Tracing another filter 


# 


# 


# 


# 


Trace the data read and written by mod_deflate 
for a particular client (IP 192.168.1.31) 
experiencing compression problems. 


This filter will trace what goes into mod_deflate. 


ExtFilterDefine tracebefore \ 


cmd="/bin/tracefilter.pl /tmp/tracebefore" \ 


# 


# 


EnableEnv=trace_this_client 

This filter will trace what goes after mod_deflate. 
Note that without the ftype parameter, the default 
filter type of AP_FTYPE_RESOURCE would cause the 
filter to be placed *before* mod_deflate in the filter 
chain. Giving it a numeric value slightly higher than 
AP_FTYPE_CONTENT_SET will ensure that it is placed 


after mod_deflate. 


ExtFilterDefine traceafter \ 


cmd="/bin/tracefilter.pl /tmp/traceafter" \ 


EnableEnv=trace_this_client ftype=21 


<Directory /usr/local/docs> 


SetEnvIf 


Remote Addr 192.168.1.31 trace this client 


SetOutputFilter tracebefore;deflate;traceafter 


</Directory> 


Here is the filter which traces the data: 


#!/usr/local/bin/perl -w 


use strict; 


open(SAVE, "»2$ARGV[0]") 


or die "can't open $ARGV[O]: $?"; 


while (<STDIN>) { 


print SAVE $ ; 


} 


print $ ; 


close(SAVE); 


ExtFilterDefine 指令 


说 明 Define an external filter 


语法 ExtFilterDefine filtername parameters 
作用 域 server config 

状态 扩展 (E) 

模块 mod ext filter 


ExtFilterDefine directive defines the characteristics of an external filter, including the 
program to run and its arguments. 


filtername specifies the name of the filter being defined. This name can then be used in 

SetoutputFilter directives. It must be unique among all registered filters. At the present 
time, no error is reported by the register-filter API, so a problem with duplicate names isn't 
reported to the user. 


Subsequent parameters can appear in any order and define the external command to run 
and certain other characteristics. The only required parameter is cmd- . These parameters 
are: 


cmd-cmdline 


The cmd- keyword allows you to specify the external command to run. If there are 
arguments after the program name, the command line should be surrounded in quotation 
marks (例如 ， cmd="/bin/mypgm argi arg2" .) Normal shell quoting is not necessary since the 
program is run directly, bypassing the shell. Program arguments are blank-delimited. A 
backslash can be used to escape blanks which should be part of a program argument. Any 
backslashes which are part of the argument must be escaped with backslash themselves. In 
addition to the standard CGI environment variables, DOCUMENT URI, 
DOCUMENT PATH INFO, and QUERY STRING UNESCAPED will also be set for the 
program. 


mode=mode 
Use mode=output (the default) for filters which process the response. Use mode=input for 
filters which process the request. mode=input is available in Apache 2.1 and later. 
intype=imt 
This parameter specifies the internet media type (i.e., MIME type) of documents which 


should be filtered. By default, all documents are filtered. If intype- is specified, the filter will 
be disabled for documents of other types. 


outtype-imt 


This parameter specifies the internet media type (/.e., MIME type) of filtered documents. It is 
useful when the filter changes the internet media type as part of the filtering operation. By 
default, the internet media type is unchanged. 


PreservesContentLength 
The PreservescontentLength keyword specifies that the filter preserves the content length. 


This is not the default, as most filters change the content length. In the event that the filter 
doesn't modify the length, this keyword should be specified. 


ftype-filtertype 
This parameter specifies the numeric value for filter type that the filter should be registered 
as. The default value, AP FTYPE RESOURCE, is sufficient in most cases. If the filter 
needs to operate at a different point in the filter chain than resource filters, then this 


parameter will be necessary. See the AP FTYPE foo definitions in util filter.h for 
appropriate values. 


disableenv=env 


This parameter specifies the name of an environment variable which, if set, will disable the 
filter. 


enableenv=env 


This parameter specifies the name of an environment variable which must be set, or the filter 
will be disabled. 


ExtFilterOptions 指令 


说 明 Configure mod ext filter options 
语法 ExtFilterOptions option [option] ... 
默认 值 ExtFilterOptions DebugLevel=0 NoLogStderr 
作用 域 directory 
状态 扩展 (E) 
模块 mod_ext filter 


ExtFilteroptions directive specifies special processing options for mod ext filter . Option 
can be one of 


DebugLevel-n 
The DebugLevel keyword allows you to specify the level of debug messages generated by 


mod ext filter . By default, no debug messages are generated. This is equivalent to 
DebugLevel=o . With higher numbers, more debug messages are generated, and server 


performance will be degraded. The actual meanings of the numeric values are described 
with the definitions of the DBGLVL_ constants near the beginning of mod ext filter.c . 


Note: The core directive LogLevel should be used to cause debug messages to be stored 
in the Apache error log. 


LogStderr | NoLogStderr 


The Logstderr keyword specifies that messages written to standard error by the external 
filter program will be saved in the Apache error log. NoLogstderr disables this feature. 


示例 
ExtFilterOptions LogStderr DebugLevel=0 


Messages written to the filter's standard error will be stored in the Apache error log. No 
debug messages will be generated by mod_ext_filter . 


Apache: mod file cache 


说 明 提供 文件 描述 符 缓存 支持 ， 从 而 提高 Apache 性 能 
状态 实验 (X) 
模块 名 file cache module 
源 文件 mod file_cache.c 


概述 


This module should be used with care. You can easily create a broken site using 
mod file cache , SO read this document carefully. 


Caching frequently requested files that change very infrequently is a technique for reducing 
server load. mod file cache provides two techniques for caching frequently requested static 
files. Through configuration directives, you can direct mod file cache to either open then 

mmap() a file, or to pre-open a file and save the file's open file handle. Both techniques 
reduce server load when processing requests for these files by doing part of the work 
(specifically, the file I/O) for serving the file when the server is started rather than during 
each request. 


注意 : You cannot use this for speeding up CGI programs or other files which are served by 
special content handlers. It can only be used for regular files which are usually served by the 
Apache core content handler. 


This module is an extension of and borrows heavily from the mod mmap static module in 
Apache 1.3. 


Using mod file cache 


mod file cache caches a list of statically configured files via wMapFile 或 cacheFile 
directives in the main server configuration. 


Not all platforms support both directives. For example, Apache on Windows does not 
currently support the wMapstatic directive, while other platforms, like AIX, support both. You 
will receive an error message in the server error log if you attempt to use an unsupported 
directive. If given an unsupported directive, the server will start but the file will not be 
cached. On platforms that support both directives, you should experiment with both to see 
which works best for you. 


MMapFile Directive 


MMapFile directive of mod file cache maps a list of statically configured files into memory 
through the system call mmap() . This system call is available on most modern Unix 
derivates, but not on all. There are sometimes system-specific limits on the size and number 
of files that can be mmap() ed, experimentation is probably the easiest way to find out. 


This mmap() ing is done once at server start or restart, only. So whenever one of the 
mapped files changes on the filesystem you have to restart the server (see the Stopping and 
Restarting documentation). To reiterate that point: if the files are modified in place without 
restarting the server you may end up serving requests that are completely bogus. You 
should update files by unlinking the old copy and putting a new copy in place. Most tools 
such as rdist 和 mv do this. The reason why this modules doesn't take care of changes to 
the files is that this check would need an extra stat() every time which is a waste and 
against the intent of I/O reduction. 


CacheFile Directive 


CacheFile directive of mod file cache opens an active handlexkfile descriptor to the file (or 
files) listed in the configuration directive and places these open file handles in the cache. 
When the file is requested, the server retrieves the handle from the cache and passes it to 
the sendfile() (Or Transmitrile() on Windows), socket API. 


This file handle caching is done once at server start or restart, only. So whenever one of the 
cached files changes on the filesystem you have to restart the server (see the Stopping and 
Restarting documentation). To reiterate that point: if the files are modified in place without 
restarting the server you may end up serving requests that are completely bogus. You 
should update files by unlinking the old copy and putting a new copy in place. Most tools 
such as rdist 和 mv do this. 


MBGEE 
LER 


Don't bother asking for a directive which recursively caches all the files in a directory. Try this 
instead... See the Include directive, and consider this command: 


find /www/htdocs -type f -print \ 


| sed -e 's/.*/mmapfile &/' » /www/conf/mmap.conf 


CacheFile 1&4 


说 明 Cache a list of file handles at startup time 


语法 CacheFile file-path [file-path] ... 
作用 域 server config 

状态 实验 (X) 

模块 mod file cache 


CacheFile directive opens handles to one or more files (given as whitespace separated 
arguments) and places these handles into the cache at server startup time. Handles to 
cached files are automatically closed on a server shutdown. When the files have changed on 
the filesystem, the server should be restarted to to re-cache them. 


Be careful with the file-path arguments: They have to literally match the filesystem path 
Apache's URL-to-filename translation handlers create. We cannot compare inodes or other 
stuff to match paths through symbolic links etc. because that again would cost extra stat() 
system calls which is not acceptable. This module may or may not work with filenames 
rewritten by mod alias 5X mod rewrite . 


示例 


CacheFile /usr/local/apache/htdocs/index.html 


MMapFile 184 


说 明 Map a list of files into memory at startup time 
语法 MMapFile file-path [file-path] ... 
作用 域 server config 
状态 实验 (X) 
模块 mod file cache 


MMapFile directive maps one or more files (given as whitespace separated arguments) into 
memory at server startup time. They are automatically unmapped on a server shutdown. 
When the files have changed on the filesystem atleast a Hup 或 usR1 signal should be 
send to the server to re- mmap() them. 


Be careful with the file-path arguments: They have to literally match the filesystem path 
Apache's URL -to-filename translation handlers create. We cannot compare inodes or other 
stuff to match paths through symbolic links etc. because that again would cost extra stat() 


system calls which is not acceptable. This module may or may not work with filenames 
rewritten by mod alias 5% mod rewrite . 


示例 


MMapFile /usr/local/apache/htdocs/index.html 


Apache +} mod filter 


说 明 根据 上 下 文 实际 情况 对 输出 过 滤器 进行 动态 配置 
状态 基本 (B) 
模块 名 filter module 
源 文件 mod filter.c 
兼容 性 Version 2.1 及 以 后 的 版 本 中 可 用 


概述 


This module enables smart, context-sensitive configuration of output content filters. For 
example, apache can be configured to process different content-types through different 
filters, even when the content-type is not known in advance (e.g. in a proxy). 


mod filter Works by introducing indirection into the filter chain. Instead of inserting filters in 
the chain, we insert a filter harness which in turn dispatches conditionally to a filter provider. 
Any content filter may be used as a provider to mod filter ; no change to existing filter 
modules is required (although it may be possible to simplify them). 


Smart Filtering 


In the traditional filtering model, filters are inserted unconditionally using AddoutputFilter 
and family. Each filter then needs to determine whether to run, and there is little flexibility 
available for server admins to allow the chain to be configured dynamically. 


mod filter by contrast gives server administrators a great deal of flexibility in configuring 
the filter chain. In fact, filters can be inserted based on any Request Header, Response 
Header or Environment Variable. This generalises the limited flexibility offered by 

AddOutputFilterByType , and fixes it to work correctly with dynamic content, regardless of the 
content generator. The ability to dispatch based on Environment Variables offers the full 
flexibility of configuration with mod rewrite to anyone who needs it. 


Filter Declarations, Providers and Chains 


AES Pim 


处 理 器 
<dfn class="calibre50">Figure 1:</dfn> The traditional filter model 


In the traditional model, output filters are a simple chain from the content generator (handler) 
to the client. This works well provided the filter chain can be correctly configured, but 
presents problems when the filters need to be configured dynamically based on the outcome 


of the handler. 
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2:</dfn> The mod_filter model 
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mod_filter works by introducing indirection into the filter chain. Instead of inserting filters in 
the chain, we insert a filter harness which in turn dispatches conditionally to a filter provider. 
Any content filter may be used as a provider to mod filter ; no change to existing filter 
modules is required (although it may be possible to simplify them). There can be multiple 
providers for one filter, but no more than one provider will run for any single request. 


A filter chain comprises any number of instances of the filter harness, each of which may 
have any number of providers. A special case is that of a single provider with unconditional 
dispatch: this is equivalent to inserting the provider filter directly into the chain. 


Configuring the Chain 


There are three stages to configuring a filter chain with mod filter . For details of the 
directives, see below. 


Declare Filters 


The FilterDeclare directive declares a filter, assigning it a name and filter type. Required 
only if the filter is not the default type AP FTYPE RESOURCE. 


Register Providers 


The FilterProvider directive registers a provider with a filter. The filter may have been 
declared with FilterDeclare ; if not, FilterProvider will implicitly declare it with the default 
type AP FTYPE RESOURCE. The provider must have been registered with 

ap register output filter by some module. The remaining arguments to rilterProvider 
are a dispatch criterion and a match string. The former may be an HTTP request or 
response header, an environment variable, or the Handler used by this request. The latter is 
matched to it for each request, to determine whether this provider will be used to implement 
the filter for this request. 


Configure the Chain 


The above directives build components of a smart filter chain, but do not configure it to run. 
The Filterchain directive builds a filter chain from smart filters declared, offering the 
flexibility to insert filters at the beginning or end of the chain, remove a filter, or clear the 
chain. 


Examples 


Server side Includes (SSI) 


A simple case of using mod filter in place of AddoutputFilterByType 


FilterDeclare SSI 
FilterProvider SSI INCLUDES resp=Content-Type $text/html 


FilterChain SSI 


Server side Includes (SSI) 


The same as the above but dispatching on handler (classic SSI behaviour; .shtml files get 
processed). 


FilterProvider SSI INCLUDES Handler server-parsed 


FilterChain SSI 


Emulating mod gzip with mod deflate 


Insert INFLATE filter only if "gzip" is NOT in the Accept-Encoding header. This filter runs with 
ftype CONTENT SET. 


FilterDeclare gzip CONTENT SET 
FilterProvider gzip inflate req=Accept-Encoding !$gzip 


FilterChain gzip 


Image Downsampling 


Suppose we want to downsample all web images, and have filters for GIF, JPEG and PNG. 


FilterProvider unpack jpeg_unpack Content-Type $image/jpeg 
FilterProvider unpack gif_unpack Content-Type $image/gif 
FilterProvider unpack png_unpack Content-Type $image/png 
FilterProvider downsample downsample filter Content-Type $image 
FilterProtocol downsample "change=yes" 

FilterProvider repack jpeg pack Content-Type $image/jpeg 
FilterProvider repack gif pack Content-Type $image/gif 
FilterProvider repack png pack Content-Type $image/png 
&lt;Location /image-filter&gt; 


FilterChain unpack downsample repack 
&lt;/Location&gt; 


Protocol Handling 


Historically, each filter is responsible for ensuring that whatever changes it makes are 
correctly represented in the HTTP response headers, and that it does not run when it would 
make an illegal change. This imposes a burden on filter authors to re-implement some 
common functionality in every filter: 


e Many filters will change the content, invalidating existing content tags, checksums, 
hashes, and lengths. 


e Filters that require an entire, unbroken response in input need to ensure they don't get 
byteranges from a backend. 
e Filters that transform output in a filter need to ensure they don't violate a 
Cache-Control: no-transform header from the backend. 
e Filters may make responses uncacheable. 


mod filter aims to offer generic handling of these details of filter implementation, reducing 
the complexity required of content filter modules. This is work-in-progress; the 

FilterProtocol implements some of this functionality for back-compatibility with Apache 2.0 
modules. For httpd 2.1 and later, the 

ap register output filter protocol 和 ap filter protocol API enables filter modules to 





declare their own behaviour. 


At the same time, mod filter should not interfere with a filter that wants to handle all 
aspects of the protocol. By default (i.e. in the absence of any FilterProtocol directives), 
mod filter Will leave the headers untouched. 


At the time of writing, this feature is largely untested, as modules in common use are 
designed to work with 2.0. Modules using it should test it carefully. 


FilterChain 1&4 


说 明 Configure the filter chain 
语法 FilterChain [+=-@!]filter-name ... 
作用 域 Server config, virtual host, directory, .htaccess 
fermi Options 
状态 基本 (B) 
模块 mod filter 


This configures an actual filter chain, from declared filters. Filterchain takes any number 
of arguments, each optionally preceded with a single-character control that determines what 
to do: 


+filter-name 
Add filter-name to the end of the filter chain 


Qfilter-name 


Insert filter-name at the start of the filter chain 


-filter-name 


Remove filter-name from the filter chain 


-filter-name 


Empty the filter chain and insert filter-name 


Empty the filter chain 


filter-name 


Equivalent to +filter-name 


FilterDeclare 1&4 


说 明 Declare a smart filter 
语法 FilterDeclare filter-name [type] 
作用 域 server config, virtual host, directory, .htaccess 
Emi Options 
状态 基本 (B) 
模块 mod filter 


This directive declares an output filter together with a header or environment variable that 
will determine runtime configuration. The first argument is a filter-name for use in 


FilterProvider , FilterChain 和 FilterProtocol directives. 


The final (optional) argument is the type of filter, and takes values of ap filter type - 
namely resource (the default), coNTENT SET , PROTOCOL , TRANSCODE , 


CONNECTION 或 NETWORK . 


FilterProtocol 指 兮 


说 明 Deal with correct HTTP protocol handling 
语法 FilterProtocol filter-name [provider-name] proto-flags 
作用 域 server config, virtual host, directory, .htaccess 
Emi Options 
状态 基本 (B) 
模块 mod filter 


This directs mod filter to deal with ensuring the filter doesn't run when it shouldn't, and 
that the HTTP response headers are correctly set taking into account the effects of the filter. 


There are two forms of this directive. With three arguments, it applies specifically to a filter- 
name and a provider-name for that filter. With two arguments it applies to a filter-name 
whenever the filter runs any provider. 


proto-flags is one or more of 
change-yes 

The filter changes the content, including possibly the content length 
change=1:1 

The filter changes the content, but will not change the content length 
byteranges=no 

The filter cannot work on byteranges and requires complete input 
proxy=no 

The filter should not run in a proxy context 


proxy=transform 


The filter transforms the response in a manner incompatible with the HTTP 


Cache-Control: no-transform header. 


cache=no 


The filter renders the output uncacheable (eg by introducing randomised content changes) 


FilterProvider 指令 


p 
BA 


Register a content filter 


FilterProvider filter-name provider-name [req&#124; resp&#124;env]=dispatch match 


VF 


server config, virtual host, directory, .htaccess 


i dB 


Options 


= BH did 


ü SE 


基本 (B) 


yii 


mod filter 
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This directive registers a provider for the smart filter. The provider will be called if and only if 
the match declared here matches the value of the header or environment variable declared 
as dispatch. 


provider-name must have been registered by loading a module that registers the name with 


ap register output filter . 


dispatch argument is a string with optional req= , resp- 5% env- prefix causing it to 
dispatch on (respectively) the request header, response header, or environment variable 
named. In the absence of a prefix, it defaults to a response header. A special case is the 
word handler , which causes mod filter to dispatch on the content handler. 


match argument specifies a match that will be applied to the filter's dispatch criterion. The 
match may be a string match (exact match or substring), a regex, an integer (greater, 
lessthan or equals), or unconditional. The first characters of the match argument determines 
this: 


First, if the first character is an exclamation mark ( ! ), this reverses the rule, so the 
provider will be used if and only if the match fails. 


Second, it interprets the first character excluding any leading ! as follows: 


Character Description 
(none) exact match 
$ substring match 
/ regex match (delimited by a second / ) 


s integer equality 


&lt; integer less-than 

&1t;- integer less-than or equal 
&gt; integer greater-than 

&gt;- integer greater-than or equal 


Unconditional match 


FilterTrace 1E 4 


说 明 Get debug/diagnostic information from mod filter 


ak FilterTrace filter-name level 
作用 域 server config, virtual host, directory 
状态 基本 (B) 

模块 mod filter 


This directive generates debug information from mod filter . It is designed to help test and 
debug providers (filter modules), although it may also help with mod filter itself. 


The debug output depends on the level set: 
o (default) 


No debug information is generated. 


1 


mod filter Will record buckets and brigades passing through the filter to the error log, 
before the provider has processed them. This is similar to the information generated by 
mod diagnostics. 


2 (not yet implemented) 


Will dump the full data passing through to a tempfile before the provider. For single-user 
debug only; this will not support concurrent hits. 


Apache mod headers 


说 明 允许 通过 配置 文件 控制 任意 的 HTTP 请 求 和 应 答 头 信息 
状态 扩展 (E) 
模块 名 headers module 
源 文件 mod headers.c 
兼容 性 RequestHeader 仅 在 Apache 2.0 中 有 效 


概述 


这 个 模块 提供 了 一 些 指 倒 用 于 控制 和 修改 HTTP 请 求 关 和 应 答 头 。 这 些 头 可 以 被 合并 、 蔡 换 、 
删除 。 


处 理 顺 序 


由 mod headers 提供 的 指令 几乎 可 以 出 现在 配置 文件 的 任何 部 分 。 并 可 以 封装 在 配置 段 中 以 限 
制 其 作用 范围 。 


指令 的 久 理 顺序 很 重要 ， 它 取决 于 指令 本 身 在 配置 文件 中 的 位 置 和 所 属 配置 段 在 配置 文件 中 
的 位 置 。 下 面 的 指令 如 果 凑 倒 一 下 顺序 将 会 导致 完全 不 同 的 结果 : 


RequestHeader append MirrorID "mirror 12" 


RequestHeader unset MirrorID 


当前 顺序 下 ， MirrorID 头 不 会 被 设置 。 若 颠倒 一 下 顺序 ， MirrorID 头 将 被 设 为 "mirror 12". 


前 处 理 和 后 处 理 


mod headers 可 以 应 用 在 请 求 被 处 理 之 前 或 之 后 。 通 常 的 模式 是 "后 处 理 "， 也 就 是 在 请 求 处 理 
完毕 之 后 、 发 送 应 答 之 前 设置 应 答 头 。[ 原 文 : when Request Headers are set immediately 
before running the content generator and Response Headers just as the response is sent 
down the wire.] 在 实际 工作 的 服务 器 上 应 当 始 终 使 用 "后 处 理 "模式 。 


"前 处 理 "模式 应 当 仅仅 作 为 开发 者 使 用 的 一 种 测试 /调试 辅助 工具 。 可 以 在 指令 中 使 
用 early 关键 字 馈 用 "前 处 理 " 模 式 ， 此 时 将 在 处 理 请 求 之 前 设置 请 求 头 。 这 样 就 可 以 模拟 各 种 
不 同 的 请 求 以 协助 调试 。 


由 于 "前 处 理 "模式 的 指 合 在 将 URL 映 射 到 文件 系统 之 前 就 生效 了 ， 不 能 依赖 于 所 请 求 的 路 径 。 
所 以 "前 处 理 " 模 式 的 指 今 只 能 用 在 主 服务 器 和 虚拟 主机 部 分 的 配置 中 ， 而 不 能 
F <Directory> sk «Location» 配置 段 中 。 


示例 


1. 将 所 有 以 "TS" 开 头 的 请 求 头 复制 到 应 答 头 中 : 


Header echo ^TS 


2. 在 上 应答 中 添加 一 个 Myheader 头 来 包含 服务 端 接受 到 请 求 的 时 间 戳 和 经 过 多 少时 间 以 后 才 
完成 对 该 请 求 的 义理 并 作出 应 答 。 这 个 头 可 以 让 客户 端 知道 瓶颈 位 于 服务 端 还 是 位 于 服 
务 端 和 客户 端 之 间 的 线路 。 


Header add MyHeader "%D %t" 


上 面 的 设置 将 会 添加 如 下 应 答 头 内 容 : 


MyHeader: D=3775428 t-991424704447256 


3. 向 Joe 问 好 (Hello) : 


Header add MyHeader "Hello Joe. It took %D microseconds \ 


for Apache to serve this request." 


上 面 的 设置 将 会 添加 如 下 应 答 头 内 容 : 


MyHeader: Hello Joe. It took D=3775428 microseconds for Apache to serve th: 
ape —— ——Á——Á—— —À—À À———— — 


4. 当 且 公 当 "MyRedquestHeader" 出 现在 请 求 头 中 的 时 候 才 在 应 答 中 发 送 " MyHeader "Ko 3X 
个 对 根据 特定 的 客户 端 构 造 特定 的 应 答 头 很 有 有 用。 注意 ， 下 面 的 例 
要 mod_setenvif 模块 的 支持 。 





SetEnvIf MyRequestHeader value HAVE MyRequestHeader 


Header add MyHeader "%D %t mytext" env-HAVE MyRequestHeader 


如 果 请 求 中 出 现 " MyRequestHeader: value " 头 ， 应 答 中 将 会 包含 下 面 的 头 : 


MyHeader: D=3775428 t=991424704447256 mytext 


Header 指令 


e 配置 HTTP 应 答 头 
Header [condition] set&#124;append&#124;add&#124;unset&#124;echo header [value] [ei 
4. 

VF 

用 Server config, virtual host, directory, .htaccess 

域 

1m 

zt  Filelnfo 

项 

状 

A 扩展 (E) 

模 

M mod headers 


这 个 指令 可 以 替换 、 人 合并、 删除 HTTP 应 答 头 。 应 答 头 紧 跟 在 内 容 义理 器 和 输出 过 滤器 完工 之 
后 生成 ， 这 时 候 才 能 对 头 进 行 修改 。 


condition 选 项 可 以 是 onsuccess EX always 。 它 决定 了 将 对 哪个 内 部 头 (internal header) 表 进 
行 操作 。 onsuccess 表示 "2xx "状态 码 ， always 表示 所 有 状态 码 (包含 " 2xx ")。 特 别 地 ， 如 
果 你 想 撤销 由 某 个 模块 设置 的 头 ， 你 应 当做 做 试验 ， 以 找到 是 那个 表 产 生 的 影响 。 

该 指令 执行 的 动作 是 由 第 二 个 参数 决定 的 。 这 个 参数 取 值 范围 如 下 : 

set 

设置 新 的 或 修改 已 经 存在 的 同名 应 答 头 。value 可 以 是 一 个 格式 字符 串 。 

append 

向 同名 应 答 头 添加 新 内 容 而 不 修改 原来 已 经 存在 的 旧 内 容 。 当 向 一 个 已 经 存在 的 头 添加 新 值 
时 ， 将 用 逗号 与 原来 已 经 存在 的 旧 值 分 开 。 这 是 向 HTTP 头 赋 以 多 个 值 的 标准 方法 。 

add 

向 应 答 中 添加 新 的 头 而 不 修改 原来 已 经 存在 的 头 (即使 同名 )。 这 将 可 能 导致 有 两 个 或 更 多 的 应 
答 头 具有 相同 的 名 字 ， 从 而 导致 意 想 不 到 的 后 果 ， 所 以 通常 不 使 用 这 种 方法 而 用 append 来 代 
$b. 

unset 


去 除 应 答 中 同名 的 头 ( 若 存 在 的 话 )。 如 果 有 多 个 头 同 名 ， 则 会 被 全 部 去 除 。value 必 须 被 省 
RE. 


echo 


将 请 求 中 同名 的 头 复制 到 应 答 中 。header 可 以 是 一 个 正则 表达 式 。value 必 须 被 省 略 。 


这 个 参数 后 面 必 须要 跟 一 个 header 名 字 ( 结 尾 的 冒号 可 要 可 不 要 )。 set ，append ，add ， 
unset 是 大 小 写 无 关 的 。 用 于 echo 的 header 是 大 小 写 敏 感 的 ， 并 且 可 以 是 一 个 正则 表达 
式 。 

对 于 add , append ， set 来 说 ， value 是 第 三 个 参数 。 如 果 value 包 含 空格 则 必须 用 双 引 号 (") 
括 起 来 。value 可 以 是 一 个 普通 字符 串 或 包含 格式 说 明 符 的 字符 串 ，value 支 持 下 列 格式 字符 
$: 


%% 百 分 号 (%) 
接收 到 请 求 的 微 秒 时 间 惟 (相对 于 1970-1-1 00:00:00 UCT)， 外 加 一 
apos t= "前 级 。 


从 接收 到 请 求 到 完成 对 该 请 求 的 处 理 并 作出 应 答 共 花 费 了 多 少 微 秒 ， 外 加 


一 个 " p= "前 级 。 


%t 


%D 
%{FOOBAR}e 环境 变量 FooBAR MAR 
%{FOOBAR}S SSL 环 境 变量 FooBAR 的 内 容 (如 果 启 用 了 mod ssl ) 


“~ = 
7 AK 


" «s "格式 符 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 。 它 可 以 代替 " «e "以 避 
$8" ssLoptions +StdEnvwars " 带 来 的 额外 开销 。 如 果 因 为 别 的 原因 必须 开 


Æ" ssLoptions «StdEnvVars ", ABA" «e "EEG" «s "更 加 合适 。 


Header 后 面 可 以 跟 一 个 用 于 指定 生效 条 件 的 额外 参数 (或 者 用 early 表示 "前 人 处理 ")。 如 果 
在 ”env=... "参数 中 指定 的 环境 变量 存在 (或 用 " envoi... "表示 不 存在 )， 那 么 Header $8 31H 
定 的 动作 将 会 生效 ， 否 则 将 不 会 生效 。 

除非 使 用 early 模 式 ， 否 则 Header 指令 将 在 应 答 最 后 被 发 送 到 网 络 前 义理 。 这 意味 着 可 以 设置 
和 改写 绝 大 多 数 应 答 头 ， 除 了 自己 添加 的 应 答 头 。 


RequestHeader 184 


n 配置 HTTP 请 求 头 


RequestHeader set&#124;append&#124;add&#124;unset header [value] [early&#124; env=[ 


server config, virtual host, directory, .htaccess 
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这 个 指令 可 以 替换 、 合 并 、 删 除 HTTP 应 答 头 。 请 求 头 将 会 在 内 容 义理 器 运行 之 前 被 修改 。 修 
改 的 动作 由 第 一 个 参数 决定 ， 其 取 值 范围 如 下 : 


Set 


设置 新 的 或 修改 已 经 存在 的 同名 请 求 头 。 

append 

向 同名 请 求 头 添加 新 内 容 而 不 修改 原来 已 经 存在 的 旧 内 容 。 当 向 一 个 已 经 存在 的 头 添加 新 值 
时 ， 将 用 至 号 与 原来 已 经 存在 的 旧 值 分 开 。 这 是 向 HTTP 头 赋 以 多 个 值 的 标准 方法 。 

add 

向 请 求 中 添加 新 的 头 而 不 修改 原来 已 经 存在 的 头 (即使 同名 )。 这 将 可 能 导致 有 两 个 或 更 多 的 请 
求 头 具有 相同 的 名 字 ， 从 而 导致 意 想 不 到 的 后 果 ， 所 以 通常 不 使 用 这 种 方法 而 用 append KK 
SU. 

unset 


去 除 请 求 中 同名 的 头 ( 若 存 在 的 话 )。 如 果 有 多 个 头 同 名 ， 则 会 被 全 部 去 除 。value 必 须 被 省 
BE 


这 些 参数 后 面 必须 要 跟 一 个 header 名 (结尾 的 冒号 可 要 可 不 要 ， 且 大 小 写 无 关 )。 对 于 add, 
append ， Set 来 说 ， value 是 第 三 个 参数 。 如 果 value 包 含 空格 则 必须 用 双 引 号 (") 括 起 来 。 对 
于 unset 来 说 则 不 需要 value 参 数 。value 可 以 是 一 个 普通 字符 串 或 包含 格式 说 明 符 的 字符 串 ， 
格式 字符 串 的 用 法 与 Header 指使 一 样 。 


RequestHeader 后 面 可 以 跟 一 个 用 于 指定 生效 条 件 的 额外 参数 (或 者 用 early 表示 "前 义理 ")。 
如 果 在 " env-... "参数 中 指定 的 环境 变量 存在 (或 用 " envoi... "表示 不 存在 )， 那 
74 RequestHeader 指令 指定 的 动作 将 会 生效 ， 否 则 将 不 会 生效 。 


除非 使 用 early 模 式 ， 否 则 RequestHeader 将 在 请 求 被 处 理 之 前 生效 。 这 样 ， 由 浏览 器 和 
Apache 输 入 过 滤器 产生 的 请 求 头 都 可 以 被 该 指令 处 理 。 


Apache 3à mod ident 


说 明 实现 RFC1413 规 定 的 ident 查 找 
状态 扩展 (E) 
模块 名 ident_module 
源 文件 mod ident.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


该 模块 只 有 在 远程 主机 上 运行 了 RFC 1413 兼 容 的 守护 进程 的 情况 下 才能 查询 连接 者 的 身份 。 


IdentityCheck 184 


说 明 启用 对 远 端 用 户 的 RFC1413 身 份 故 定 的 日 志 
语法 IdentityCheck On&#124; Off 
默认 值 IdentityCheck Off 
作用 域 server config, virtual host, directory 
状态 扩展 (E) 
模块 mod_ident 
兼容 性 Apache 2.1 以 后 从 服务 器 核心 中 移出 到 该 模块 


当 客 户 端 运行 了 identd 或 类 似 程序 时 ， 此 指令 将 决定 是 否 为 每 个 链接 记录 RFC 1413 兼 容 的 远 
端 用 户 名 。 这 些 信息 将 记 和 访问 日 志 中 (使 用 " «1 "格式 字符 串 )。 


此 信息 除了 用 于 基本 的 跟踪 以 外 是 不 应 该 多 加 信任 的 。 


因为 对 每 个 请 求 都 会 进行 这 样 的 查询 ， 所 以 这 样 设置 可 能 会 使 您 的 服务 器 访问 出 现 严重 的 延 
迟 。 当 涉及 到 防火 墙 或 代理 的 时 候 ， 每 次 查询 都 会 因为 可 能 的 失败 而 对 每 次 点 击 增 

加 IdentitycheckTimeout 秒 的 延迟 。 所 以 一 般 来 说 对 于 公 网 上 的 服务 器 这 个 指使 并 不 是 很 有 
用 。 


IdentityCheckTimeout 1845 


说 明 设置 ident 请 求 超时 


语法 IdentityCheckTimeout seconds 

默认 值 IdentityCheckTimeout 30 

作用 域 server config, virtual host, directory 
状态 扩展 (E) 

模块 mod_ident 


该 指令 设置 了 ident 请 求 的 超时 时 间 。 默 认 值 "30"( 秒 ) 也 是 RFC 1413 的 推荐 值 ， 这 主要 是 考 
到 可 能 的 网 络 延 时 。 当 然 ， 你 也 可 以 根据 你 自己 的 网 络 状 况 进行 调整 。 


Apache à mod imagemap 


说 明 义理 服务 器 端 图 像 映射 
KS 基本 (B) 
模块 名 imagemap module 
源 文件 mod imagemap.c 


概述 


This module processes .map files, thereby replacing the functionality of the imagemap CGI 
program. Any directory or document type configured to use the handler imap-file (using 
either AddHandler 或 setHandler ) will be processed by this module. 


The following directive will activate files ending with .map as imagemap files: 


AddHandler imap-file map 


Note that the following is still supported: 
AddType application/x-httpd-imap map 


However, we are trying to phase out "magic MIME types" so we are deprecating this 
method. 


New Features 


The imagemap module adds some new features that were not possible with previously 
distributed imagemap programs. 


e URL references relative to the Referer: information. 
e Default «base» assignment through a new map directive base . 
e Noneed for imagemap.conf file. 


Point references. 


Configurable generation of imagemap menus. 


Imagemap File 


The lines in the imagemap files can have one of several formats: 


directive value [<var class="calibre40">x</var>, «var class="calibre40">y</var> ... 


directive value "<var class="calibre40">Menu text«/var»" [«var class-'calibre40"»x« 


oe 


directive value <var class="calibre40">x</var>, <var class="calibre40">y</var> ... 


4 Ee 








The directive is one of base , default , poly , circle , rect ,Or point . The value is an 
absolute or relative URL, or one of the special values listed below. The coordinates are 

x, y pairs separated by whitespace. The quoted text is used as the text of the link if a 
imagemap menu is generated. Lines beginning with '#' are comments. 


Imagemap File Directives 


There are six directives allowed in the imagemap file. The directives can come in any order, 
but are processed in the order they are found in the imagemap file. 


base Directive 


Has the effect of «base href="value"> . The non-absolute URLs of the map-file are taken 

relative to this value. The base directive overrides ImapBase as setina .htaccess file or 

in the server configuration files. In the absence of an ImapBase configuration directive, 
base defaults to http://server_name/ . 


base uri is synonymous with base . Note that a trailing slash on the URL is significant. 
default Directive 


The action taken if the coordinates given do not fit any of the poly , circle 5X rect 
directives, and there are no point directives. Defaults to nocontent in the absence of an 

ImapDefault configuration setting, causing a status code of 204 No content to be returned. 
The client should keep the same page displayed. 


poly Directive 


Takes three to one-hundred points, and is obeyed if the user selected coordinates fall within 
the polygon defined by these points. 


circle 


Takes the center coordinates of a circle and a point on the circle. Is obeyed if the user 
selected point is with the circle. 


rect Directive 


Takes the coordinates of two opposing corners of a rectangle. Obeyed if the point selected is 
within this rectangle. 


point Directive 


Takes a single point. The point directive closest to the user selected point is obeyed if no 
other directives are satisfied. Note that default will not be followed if a point directive is 
present and valid coordinates are given. 


Values 


The values for each of the directives can any of the following: 
a URL 


The URL can be relative or absolute URL. Relative URLs can contain '..' syntax and will be 
resolved relative to the base value. 


base itself will not resolved according to the current value. A statement base mailto: will 
work properly, though. 


map 


Equivalent to the URL of the imagemap file itself. No coordinates are sent with this, so a 
menu will be generated unless ImapMenu is setto none. 


menu 


Synonymous with map . 


referer 


Equivalent to the URL of the referring document. Defaults to http://servername/ if no 
Referer: header was present. 


nocontent 


Sends a status code of 204 No content , telling the client to keep the same page displayed. 
Valid for all but base . 


error 


Fails with a 500 server Error . Valid for all but base , but sort of silly for anything but 
default . 


Coordinates 
0,0 200,200 


A coordinate consists of an x and a y value separated by a comma. The coordinates are 
separated from each other by whitespace. To accommodate the way Lynx handles 
imagemaps, should a user select the coordinate o,o , it is as if no coordinate had been 


selected. 


Quoted Text 


"Menu Text" 


After the value or after the coordinates, the line optionally may contain text within double 
quotes. This string is used as the text for the link if a menu is generated: 


&lt;a href="http://foo.com/"&gt;Menu text&lt;/a&gt; 


If no quoted text is present, the name of the link will be used as the text: 


&lt;a hrefz"http://foo.com/"&gt;http://foo.com&lt;/a&gt; 


If you want to use double quotes within this text, you have to write them as " . 


Example Mapfile 


#Comments are printed in a 'formatted' or 'semiformatted' menu. 
#And can contain html tags. <hr> 

base referer 

poly map "Could I have a menu, please?" 0,0 0,10 10,10 10,0 
rect .. 0,0 77,27 "the directory of the referer" 

circle http://www.inetnebr.com/lincoln/feedback/ 195,0 305,27 
rect another file "in same directory as referer" 306,0 419,27 
point http://www.zyzzyva.com/ 100,100 

point http://www.tripod.com/ 200,200 


rect mailto:nateQtripod.com 100,150 200,0 "Bugs?" 


Referencing your mapfile 


HTML example 


«a href="/maps/imagemap1.map"> 


<img ismap src="/images/imagemap1.gif"> 
</a> 


XHTML example 


«a hrefz"/maps/imagemapi.map"- 


«img ismap="ismap" src="/images/imagemap1.gif" /> 
</a> 


ImapBase 指令 


说 明 Default base for imagemap files 
语法 ImapBase map&#124; referer&#124; URL 
默认 值 ImapBase http://servername/ 
作用 域 server config, virtual host, directory, .htaccess 
fem ih Indexes 
状态 基本 (B) 
模块 mod imagemap 


ImapBase directive sets the default base used in the imagemap files. Its value is 
overridden by a base directive within the imagemap file. If not present, the base defaults 


to http://servername/ 


*  UseCanonicalName 


ImapDefault #84 


Default action when an imagemap is called with coordinates that are not 


说 明 
explicitly mapped 
语法 ImapDefault error&#124;nocontent&#124;map&#124;referer&#124;URL 
里 Es 
默认 ImapDefault nocontent 
值 
作用 "- 
域 Server config, virtual host, directory, .htaccess 
p Æ 
Hu Indexes 
项 
状态 ”基本 (B) 


模块 mod_imagemap 


ImapDefault directive sets the default default used in the imagemap files. Its value is 
overridden by a default directive within the imagemap file. If not present, the default 
action is nocontent , which means that a 204 No Content is sent to the client. In this case, 
the client should continue to display the original page. 


ImapMenu 184 


说 明 Action if no coordinates are given when calling an imagemap 
语法 ImapMenu none&#124; formatted&#124; semiformatted&#124; unformatted 
作用 域 Server config, virtual host, directory, .htaccess 
fem i Indexes 
状态 基本 (B) 
模块 mod imagemap 


ImapMenu directive determines the action taken if an imagemap file is called without valid 
coordinates. 


none 


If ImapMenu is none , no menu is generated, and the default action is performed. 


formatted 


A formatted menu is the simplest menu. Comments in the imagemap file are ignored. A 
level one header is printed, then an hrule, then the links each on a separate line. The menu 
has a consistent, plain look close to that of a directory listing. 


semiformatted 


Inthe semiformatted menu, comments are printed where they occur in the imagemap file. 
Blank lines are turned into HTML breaks. No header or hrule is printed, but otherwise the 
menu is the same asa formatted menu. 


unformatted 


Comments are printed, blank lines are ignored. Nothing is printed that does not appear in 
the imagemap file. All breaks and headers must be included as comments in the imagemap 
file. This gives you the most flexibility over the appearance of your menus, but requires you 
to treat your map files as HTML instead of plaintext. 


Apache? mod include 


说 明 实现 服务 端 包 含 文档 (SSI) 处 理 
状态 基本 (B) 
模块 名 include_module 
源 文 件 mod_include.c 
兼容 性 Implemented as an output filter since Apache 2.0 


概述 


This module provides a filter which will process files before they are sent to the client. The 
processing is controlled by specially formatted SGML comments, referred to as «dfn 
class="calibre27">elements</dfn>. These elements allow conditional text, the inclusion of 
other files or programs, as well as the setting and printing of environment variables. 


Enabling Server-Side Includes 


Server Side Includes are implemented by the Incrupes filter. If documents containing 
server-side include directives are given the extension .shtml, the following directives will 
make Apache parse them and assign the resulting document the mime type of text/html : 


AddType text/html .shtml 


AddOutputFilter INCLUDES .shtml 


The following directive must be given for the directories containing the shtml files (typically in 
a «Directory» Section, but this directive is also valid in .htaccess files if AllowOverride 
Options iS set): 


Options +Includes 


For backwards compatibility, the server-parsed *<?#25 also activates the INCLUDES filter. 
As well, Apache will activate the INCLUDES filter for any document with mime type 

text/x-server-parsed-html 或 text/x-server-parsed-html3 (and the resulting output will have 
the mime type text/html ). 


For more information, see our Tutorial on Server Side Includes. 


PATH INFO with Server Side Includes 


Files processed for server-side includes no longer accept requests with PATH_INFO (trailing 
pathname information) by default. You can use the AcceptPathinfo directive to configure the 
server to accept requests with PATH INFO. 


Basic Elements 


The document is parsed as an HTML document, with special commands embedded as 
SGML comments. A command has the syntax: 


<!--#<var class="calibre40">element</var> «var class="calibre40">attribute</var>=<v 
<var class="calibre40">attribute</var>=<var class="calibre40">value</var> ... --> 


TRE) 





The value will often be enclosed in double quotes, but single quotes ( ' ) and backticks 

(^ )are also possible. Many commands only allow a single attribute-value pair. Note that 
the comment terminator ( --&gt; ) should be preceded by whitespace to ensure that it isn't 
considered part of an SSI token. Note that the leading &1t;'--« is one token and may not 
contain any whitespaces. 


The allowed elements are listed in the following table: 


Element Description 
config configure output formats 
echo print variables 
exec execute external programs 
fsize print size of a file 
flastmod print last modification time of a file 
include include a file 
printenv print all available variables 
set set a value of a variable 


SSI elements may be defined by modules other than mod_include . In fact, the exec 
element is provided by mod cgi , and will only be available if this module is loaded. 


The config Element 


This command controls various aspects of the parsing. The valid attributes are: 


echomsg (Apache 2.1 and later) 
The value is a message that is sent back to the client if the echo element attempts to echo 
an undefined variable. This overrides any ssriundefinedEcho directives. 

errmsg 
The value is a message that is sent back to the client if an error occurs while parsing the 
document. This overrides any ssriErrorMsg directives. 

sizefmt 
The value sets the format to be used which displaying the size of a file. Valid values are 


bytes for a count in bytes, or abbrev for a count in Kb or Mb as appropriate, for example a 
size of 1024 bytes will be printed as "1K". 


timefmt 


The value is a string to be used by the strftime(3) library routine when printing dates. 


The echo Element 


This command prints one of the include variables, defined below. If the variable is unset, the 
result is determined by the ssrundefinedEcho directive. Any dates printed are subject to the 
currently configured timefmt . 


Attributes: 


var 


The value is the name of the variable to print. 


encoding 


Specifies how Apache should encode special characters contained in the variable before 
outputting them. If set to none , no encoding will be done. If set to ur1 , then URL encoding 
(also known as %-encoding; this is appropriate for use within URLs in links, etc.) will be 
performed. At the start of an echo element, the default is set to entity , resulting in entity 
encoding (which is appropriate in the context of a block-level HTML element, 例如 ， a 
paragraph of text). This can be changed by adding an encoding attribute, which will remain 
in effect until the next encoding attribute is encountered or the element ends, whichever 
comes first. 


encoding attribute must precede the corresponding var attribute to be effective, and only 
special characters as defined in the ISO-8859-1 character encoding will be encoded. This 
encoding process may not have the desired result if a different character encoding is in use. 


In order to avoid cross-site scripting issues, you should a/ways encode user supplied data. 


The exec Element 


exec command executes a given shell command or CGI script. It requires mod cgi to be 
present in the server. If options Includesnoexec is set, this command is completely 
disabled. The valid attributes are: 


cgi 


The value specifies a (%-encoded) URL-path to the CGI script. If the path does not begin 
with a slash (/), then it is taken to be relative to the current document. The document 
referenced by this path is invoked as a CGI script, even if the server would not normally 
recognize it as such. However, the directory containing the script must be enabled for CGI 
scripts (with scriptAlias 或 Options  ExeccGI ). 


The CGI script is given the PATH 1rNFo and query string ( QUERY_STRING ) of the original 
request from the client; these cannot be specified in the URL path. The include variables will 
be available to the script in addition to the standard CG! environment. 


示例 


&1t;!--#exec cgi="/cgi-bin/example.cgi" --&gt; 


If the script returns a Location: header instead of output, then this will be translated into an 
HTML anchor. 


include virtual element should be used in preference to exec cgi . In particular, if you 
need to pass additional arguments to a CGI program, using the query string, this cannot be 
done with exec cgi , but can be done with include virtual , aS shown here: 


&lt;!--Zinclude virtual="/cgi-bin/example.cgi?argument=value" --&gt; 


cmd 


The server will execute the given string using /bin/sh . The include variables are available 
to the command, in addition to the usual set of CGI variables. 


The use of «include virtual is almost always prefered to using either 
#exec cgi 或 #exec cmd . The former ( #include virtual ) uses the standard Apache sub- 
request mechanism to include files or scripts. It is much better tested and maintained. 


In addition, on some platforms, like Win32, and on unix when using suexec, you cannot pass 
arguments to a command in an exec directive, or otherwise include spaces in the 
command. Thus, while the following will work under a non-suexec configuration on unix, it 
will not produce the desired result under Win32, or when running suexec: 


&lt; !--#exec cmd-"perl /path/to/perlscript arg1 arg2" --&gt; 


The fsize Element 


This command prints the size of the specified file, subject to the sizefmt format 
specification. Attributes: 


file 


The value is a path relative to the directory containing the current document being parsed. 


virtual 


The value is a (%-encoded) URL-path. If it does not begin with a slash (/) then it is taken to 
be relative to the current document. Note, that this does not print the size of any CGI output, 
but the size of the CGI script itself. 


The flastmod Element 


This command prints the last modification date of the specified file, subject to the timefmt 
format specification. The attributes are the same as for the fsize command. 


The include Element 


This command inserts the text of another document or file into the parsed file. Any included 
file is subject to the usual access control. If the directory containing the parsed file has 
Options Includesnoexec set, then only documents with a text MIME-type ( text/plain , 

text/html etc.) will be included. Otherwise CGI scripts are invoked as normal using the 
complete URL given in the command, including any query string. 


An attribute defines the location of the document; the inclusion is done for each attribute 
given to the include command. The valid attributes are: 


file 


The value is a path relative to the directory containing the current document being parsed. It 
cannot contain ../ , nor can it be an absolute path. Therefore, you cannot include files that 
are outside of the document root, or above the current document in the directory structure. 
The virtual attribute should always be used in preference to this one. 


«a id-"calibre link-569" name="includevirtual" class="pcalibre1 pcalibre"&gt;virtual&lt;/a 
The value is a (%-encoded) URL-path. The URL cannot contain a scheme or hostname, only 


a path and an optional query string. If it does not begin with a slash (/) then it is taken to be 
relative to the current document. 


A URL is constructed from the attribute, and the output the server would return if the URL 
were accessed by the client is included in the parsed output. Thus included files can be 
nested. 


If the specified URL is a CGI program, the program will be executed and its output inserted 
in place of the directive in the parsed file. You may include a query string in a CGI url: 


&1t;!--#include virtual="/cgi-bin/example.cgi?argument=value" --&gt; 


include virtual should be used in preference to exec cgi to include the output of CGI 
programs into an HTML document. 


The printenv Element 


This prints out a listing of all existing variables and their values. Special characters are entity 
encoded (see the echo element for details) before being output. There are no attributes. 


示例 


<!--#printenv --> 


The set Element 


This sets the value of a variable. Attributes: 


var 


The name of the variable to set. 


value 


The value to give a variable. 


示例 


<!--#set var="category" value="help" --> 


Include Variables 


In addition to the variables in the standard CGI environment, these are available for the 
echo command, for if 和 elif , and to any program invoked by the document. 


DATE_GMT 


The current date in Greenwich Mean Time. 


DATE LOCAL 


The current date in the local time zone. 


DOCUMENT. NAME 


The filename (excluding directories) of the document requested by the user. 


DOCUMENT. URI 


The (%-decoded) URL path of the document requested by the user. Note that in the case of 
nested include files, this is not the URL for the current document. 


LAST. MODIFIED 


The last modification date of the document requested by the user. 


QUERY STRING UNESCAPED 


If a query string is present, this variable contains the (%-decoded) query string, which is 
escaped for shell usage (special characters like & etc. are preceded by backslashes). 


Variable Substitution 


Variable substitution is done within quoted strings in most cases where they may reasonably 
occur as an argument to an SSI directive. This includes the config , exec , flastmod , 
fsize , include , echo , and set directives, as well as the arguments to conditional 
operators. You can insert a literal dollar sign into the string using backslash quoting: 


<!--#if expr="$a = \$test" --> 


If a variable reference needs to be substituted in the middle of a character sequence that 
might otherwise be considered a valid identifier in its own right, it can be disambiguated by 
enclosing the reference in braces, a /a shell substitution: 


<!--#set var="Zed" value-"$(REMOTE HOST) $(REQUEST METHOD)" --> 


This will result in the zed variable being set to" x v "if REMOTE Hosr is" x " and 


REQUEST METHOD iS" y". 


The below example will print "in foo" if the DOCUMENT_URI iS /foo/file.html , "in bar" if it is 
/bar/file.html and "in neither" otherwise: 


<!--#if expr-'"$DOCUMENT URI" = "/foo/file.html"' --> 


in foo 
<!--#elif expr='"$DOCUMENT_URI" = "/bar/file.html"' --> 


in bar 
<!--#else --> 


in neither 
<!--#endif --> 


Flow Control Elements 


The basic flow control elements are: 


<!--#if expr="<var class="calibre40">test_condition</var>" --> 
<!--#elif expr="<var class="calibre40">test_condition</var>" --> 
<!--#else --> 


<!--#endif --> 


if element works like an if statement in a programming language. The test condition is 
evaluated and if the result is true, then the text until the next elif , else 或 endif element 
is included in the output stream. 


elif EX else statements are be used to put text into the output stream if the original 
test_condition was false. These elements are optional. 


endif element ends the if element and is required. 
test condition is one of the following: 

string 
true if string is not empty 

stringi = string2 string1 == string2 string1 !- string2 


Compare string1 with string2. If string2 has the form /string2/ then it is treated as a 
regular expression. Regular expressions are implemented by the PCRE engine and have 
the same syntax as those in perl 5. Note that -- is just an alias for - and behaves exactly 
the same way. 


If you are matching positive ( = 5% == ), you can capture grouped parts of the regular 
expression. The captured parts are stored in the special variables $1 .. $9. 


示例 


&lt;!--4if exprz"$QUERY STRING = /^sid-([a-zA-Z0-9]-)/" --&gt; 


&lt;!--£Zset var="Session" value-"$1" --&gt; 
&lt;!--£Zendif --&gt; 


stringi &lt; string2 string1 &1t;- string2 stringi &gt; string2 string1 &gt;- string2 


Compare string1 with string2. Note, that strings are compared literally (using strcmp(3) ). 
Therefore the string "100" is less than "20". 


( test condition ) 


true if test condition is true 


! test condition 


true if test condition is false 


test conditioni && test condition2 


true if both test_condition1 #ltest_condition2 are true 


test conditioni || test condition2 


true if either test condition15Xtest condition2 is true 


"= "and" != " bind more tightly than" && "and" || ". " ! " binds most tightly. Thus, the 
following are equivalent: 


<!--#if expr="$a = testi && $b = test2" --> 


<!--#if expr="($a = test1) && ($b = test2)" --> 


The boolean operators && 和 || share the same priority. So if you want to bind such an 
operator more tightly, you should use parentheses. 


Anything that's not recognized as a variable or an operator is treated as a string. Strings can 
also be quoted: 'string' . Unquoted strings can't contain whitespace (blanks and tabs) 
because it is used to separate tokens such as variables. If multiple strings are found in a 
row, they are concatenated using blanks. So, 


<var class="calibre40">string1</var> <var class="calibre40">string2</var> results in < 
和 
"<var class="calibre40">string1</var> «var class="calibre40">string2</var>' results in 


ss 了 < 中 | 





Optimization of Boolean Expressions 


If the expressions become more complex and slow down processing significantly, you can 
try to optimize them according to the evaluation rules: 


e Expressions are evaluated from left to right 

e Binary boolean operators ( && 和 || ) are short circuited wherever possible. In 
conclusion with the rule above that means, mod include evaluates at first the left 
expression. If the left result is sufficient to determine the end result, processing stops 
here. Otherwise it evaluates the right side and computes the end result from both left 
and right results. 

e Short circuit evaluation is turned off as long as there are regular expressions to deal 
with. These must be evaluated to fill in the backreference variables ( $1 .. $9 ). 


If you want to look how a particular expression is handled, you can recompile mod include 
using the -ppEeBuG INcLUDE compiler option. This inserts for every parsed expression 
tokenizer information, the parse tree and how it is evaluated into the output sent to the client. 


SSIEndTag 184 


说 明 String that ends an include element 
语法 SSIEndTag tag 
默认 值 SSIEndTag "--&gt;" 
作用 域 server config, virtual host 
Ts 基本 (B) 
模块 mod include 
兼容 性 仅 在 Apache 2.0.30 及 以 后 的 版 本 中 可 用 


This directive changes the string that mod_include looks forto mark the end of an include 
element. 


示例 


SSIEndTag "%>" 


y 


见 


e SSIStartTag 


SSIErrorMsg #83 


说 明 Error message displayed when there is an SSI error 


语法 SSIErrorMsg message 

默认 值 SSIErrorMsg "[an error occurred while processing this directive]" 
作用 域 server config, virtual host, directory, .htaccess 

覆盖 项 All 

KS 基本 (B) 

模块 mod include 


兼容 性 仅 在 Apache 2.0.30 及 以 后 的 版 本 中 可 用 


SSIErrorMsg directive changes the error message displayed when mod_include encounters 
an error. For production servers you may consider changing the default error message to 
"&lt;!-- Error --&gt;" so that the message is not presented to the user. 


This directive has the same effect as the <!--#config errmsg=message --» element. 


示例 


SSIErrorMsg "<!-- Error -->" 


SSIStartTag 1E 4 


说 明 String that starts an include element 
语法 SSIStartTag tag 
默认 值 SSIStartTag "&lt;!--#" 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod_include 
兼容 性 仅 在 Apache 2.0.30 及 以 后 的 版 本 中 可 用 


This directive changes the string that mod_include looks forto mark an include element to 
process. 


You may want to use this option if you have 2 servers parsing the output of a file each 
processing different commands (possibly at different times). 


示例 


SSIStartTag "<%" 


SSIEndTag "%>" 


The example given above, which also specifies a matching ssrEndrag , will allow you to use 
SSI directives as shown in the example below: 


SSI directives with alternate start and end tags 


<%printenv 96» 


y 


A 


e SSIEndTag 


SSITimeFormat 1&4 


说 明 Configures the format in which date strings are displayed 
语法 SSITimeFormat formatstring 
默认 值 SSITimeFormat "95A, 96d-96b-96Y 96H:96M:96S %Z" 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 All 
状态 基本 (B) 
模块 mod_include 


兼容 性 仅 在 Apache 2.0.30 及 以 后 的 版 本 中 可 用 


This directive changes the format in which date strings are displayed when echoing DATE 
environment variables. The formatstring is as in strftime(3) from the C standard library. 


This directive has the same effect as the <!--#config timefmt=formatstring --» element. 


示例 


SSITimeFormat "%R, %B 96d, %Y" 


The above directive would cause times to be displayed in the format "22:26, June 14, 2002". 


SSIUndefinedEcho 指令 


说 明 String displayed when an unset variable is echoed 


语法 SSIUndefinedEcho string 

默认 值 SSIUndefinedEcho "(none)" 

作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 All 

状态 基本 (B) 

模块 mod include 

兼容 性 仅 在 Apache 2.0.34 及 以 后 的 版 本 中 可 用 


This directive changes the string that mod_include displays when a variable is not set and 
"echoed". 


示例 


SSIUndefinedEcho "«!-- undef -->" 


XBitHack 1&4 


说 明 Parse SSI directives in files with the execute bit set 
语法 XBitHack on&#124; of fa#124; full 
默认 值 XBitHack off 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Options 
状态 基本 (B) 
模块 mod_include 


xBitHack directive controls the parsing of ordinary html documents. This directive only 
affects files associated with the MIME-type text/html . xBitHack can take on the following 
values: 


off 
No special treatment of executable files. 


on 


Any text/html file that has the user-execute bit set will be treated as a server-parsed html 
document. 


full 


As for on but also test the group-execute bit. If it is set, then set the Last-modified date of 
the returned file to be the last modified time of the file. If it is not set, then no last-modified 
date is sent. Setting this bit allows clients and proxies to cache the result of the request. 


sy ate 
zb 


You would not want to use the full option, unless you assure the group-execute bit is unset 
for every SSI script which might «include a CGI or otherwise produces different output on 
each hit (or could potentially change on subsequent requests). 


Apache 模 块 mod info 


说 明 生成 Apache 配 置 情况 的 Web 页 面 
状态 扩展 (E) 
模块 名 info_module 
源 文件 mod info.c 


概述 
要 配置 mod info 请 将 下 列 内 容 加 入 nttpd.conf 文件 。 


«Location /server-info» 


SetHandler server-info 
«/Location» 


你 可 能 希望 在 «Location» 指令 中 使 用 mod authz host 来 限制 对 服务 器 配置 信息 的 访问 : 


«Location /server-info> 
SetHandler server-info 
Order deny,allow 
Deny from all 


Allow from yourcompany.com 
</Location> 


一 旦 配置 完成 ， 你 的 服务 器 信息 就 可 以 通过 访问 pttp://your.host.example.com/server-info 得 


到 。 


安全 问题 
一 且 mod_info 被 加 载 ， 它 的 义理 能 力 就 在 所 有 配置 文件 中 生效 ， 包括 .htaccess 文件 。 这 可 
能 给 网 站 带 来 安全 问题 。 


特别 的 ， 该 模块 还 会 泄漏 许多 配置 信息 ， 比 如 : 系统 路 径 、 用 户 名 /密码 、 数 据 库 名 称 等 等 。 
而 且 根 据 此 模块 的 工作 方式 ， 无 法 对 它 产生 的 信息 进行 屏 藤 。 因 此 ， 应 当 仅 仅 在 受 控 环境 下 
使 用 该 模块 ， 并 且 始 终 保 持 警 惕 。 


你 可 以 使 用 mod_authz_host 来 限制 对 这 些 敏 感 信 息 的 访问 : 


访问 控制 


«Location /server-info> 
SetHandler server-info 
Order allow, deny 
# 人 允许 本 机 自身 访问 
Allow from 127.0.0.1 
# 还 允许 局 域 网 内 的 另外 一 台 机 器 访问 


Allow from 192.168.1.17 
</Location> 


选择 哪些 信息 可 以 被 显示 
默认 情况 下 显示 的 信息 : 所 有 启用 的 模块 、 每 个 模块 的 指使 说 明 、 每 个 模块 的 钓 子 、 当 前 配 
置信 息 。 


还 可 以 通过 在 server-info 后 面 加 上 请 求 字 符 串 来 查看 特定 的 信息 。 比 如 


http://your.host.example.com/server-info?config 将 显示 所 有 配置 指 倒 。 
?&lt;module-name&gt; 
仅 显 示 与 该 模块 相关 的 信息 
?config 
仅 显 示 所 有 配置 指 伟 ， 不 按 模块 分 类 
?hooks 
仅 显 示 每 个 模块 所 属 钩子 (Hook) 列 表 
?list 
仅 显 示 所 有 启用 的 模块 列表 


?server 


仅 显示 基本 的 服务 器 信息 


已 知 的 局 限 


由 于 mod info 提供 的 信息 是 根据 已 经 解析 过 配置 树 提供 的 ， 而 不 是 原始 的 配置 文件 ， 因 此 有 
以 下 局 限 : 


e 立即 执行 而 并 不 存储 的 指令 不 会 被 列 出 。 包括 : ServerRoot , LoadModule , LoadFile 。 
e 控制 配置 文件 自身 行为 的 指令 不 会 被 列 出 ， 包 插 : Include , <IfModule> , <IfDefine> 


。 但 是 通过 Include 包含 进来 的 指令 将 会 被 列 出 。 

配置 中 的 注释 不 会 被 列 出 。 

e „htaccess 文件 中 的 配置 指令 不 会 被 列 出 。 

e 容器 中 的 指 今 按 原 祥 列 出 ， 但 是 mod info 不 会 计算 </pirectory> 容器 中 的 行 号 。 
第 三 方 模块 (如 moa ssi ) 的 指令 有 可 能 不 会 被 列 出 。 


AddModulelnfo 1&4 


说 明 为 server-info 处 理 器 显示 的 模块 增加 额外 信息 
语法 AddModuleInfo module-name string 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod info 
兼容 性 仅 用 于 Apache 1.3 及 以 上 版 本 


本 指令 将 string 的 内 容 作为 module-name 模 块 的 额外 信息 以 带 HTML 注 解 的 方式 显示 。 例 如 : 


AddModuleInfo mod deflate.c 'See <a \ 
hrefz"http://www.apache.org/docs/2.2/mod/mod deflate.html"-N 


http://www.apache.org/docs/2.2/mod/mod deflate.html«/a»' 


Apache 模 块 mod isapi 


说 明 仅 限于 在 Windows 平 台 上 实现 ISAPI 扩 展 
状态 基本 (B) 
模块 名 isapi_module 
源 文 件 mod isapi.c 
兼容 性 仅 用 于 Win32 


概述 


本 模块 实现 了 互联 网 服务 扩展 应 用 程序 编程 接口 (Internet Server extension API)。 本 模块 使 得 
Windows 上 的 Apache 能 有 限 地 实现 互联 网 服务 扩展 (比如 调用 ISAPI 的 动态 连接 库 )。 


ISAPI 扩 展 模块 (.dll 文 件 ) 是 由 第 三 方 开发 的 。Apache 开 发 组 没有 编写 这 些 模 块 ， 因 此 我 们 也 不 
对 它们 提供 支持 。 如 果 在 运行 ISAPI 扩 展 过 程 中 发 生 问 题 ， 请 直接 与 ISAPI 的 作者 联系 。 请 不 
要 将 此 类 问题 贴 在 Apache 的 邮件 列表 或 错误 反馈 页 面 上 。 


用 法 


在 服务 器 配置 文件 中 ， 使 用 AddHandler 指令 将 isapi-isa 义理 器 与 ISAPI 文 件 关 联 起 来 ， 并 通 
过 文件 扩展 名 来 建议 对 应 关系 。 要 将 任何 一 个 .dl 文件 作为 ISAPI 扩 展 来 处 理 ， 需 要 编辑 
httpd.conf 文 件 ， 并 加 入 以 下 行 : 


AddHandler isapi-isa .dll 


Apache 服 务 器 不 允许 将 服务 于 请 求 的 模块 动态 地 加 载 ， 但 可 以 通过 在 httpd.conf 文 件 中 ， 加 入 
以 下 语句 使 一 个 模块 在 Apache 和 启动 时 预先 载 人 系统 ， 并 使 其 驻 留 在 系统 中 : 


ISAPICacheFile c:/WebWork/Scripts/ISAPI/mytest.dll 


无 论 是 否 预 载 一 个 ISAPI 扩 展 ， 所 有 的 ISAPI 扩 展 都 使 用 与 CGI 脚本 相同 的 许可 限制 来 管理 。 也 
就 是 说 ， 包 含 ISAPI 动 态 连接 库 的 目录 必须 要 设置 " options  ExecCGI "o 


请 参阅 附加 注释 和 程序 员 注 记 以 得 到 关于 mod isapi 所 提供 的 特定 的 ISAPI 支 持 的 细节 内 容 。 


附加 注释 


Apache 的 ISAPI 实 现 了 除 部 分 用 来 处 理 异步 I/O 的 微软 特定 (Microsoft-specific) 扩 展 以 外 的 所 有 
ISAPI 2.0 规 范 。Apache 的 MO 模型 不 允许 使 用 ISAPI 可 能 用 到 的 异步 读 写 方 式 。 如 果 1ISAPI 试 
图 调用 不 支持 的 功能 ， 包 括 异 步 MJO， 在 错误 日 志 中 会 显示 一 条 错误 信息 以 方便 系统 的 调试 。 
由 于 这 类 错误 信息 可 能 会 大 量 地 产 生 ， HD" ISAPILogNotSupported Off "可 以 使 这 类 错误 信息 
不 被 记录 。 

在 某 些 服务 器 上 ， 比 如 微软 的 IIS，ISAPI 扩 展 在 载 入 后 将 驻 留 在 服务 器 上 ， 直 到 内 存 占用 过 
高 ， 或 是 指定 了 不 同 的 配置 选项 。Apache 目 前 在 每 次 请 求 时 ， 都 会 加 载 和 和 卸载 特定 的 ISAPI 
扩展 ， 除 非 指 定 了 rsaPICacherile 指令 。 虽 然 这 样 看 来 是 效率 很 低 的 一 种 做 法 ， 但 根据 
Apache 的 内 存 模式 使 用 这 种 方式 是 最 有 效 的 。 许 多 1ISAPI 模 块 与 Apache 服 务 器 有 细微 的 兼容 
性 问题 ， 和 卸载 这 些 模块 可 以 保证 服务 器 的 稳定 运行 。 


同时 请 记 住 Apache 支 持 ISAPI 扩 展 ， 但 它 不 支持 ISAPI 过 滤器 。 对 于 ISAPI 过 滤器 的 支持 可 能 
会 在 晚 些 时 候 加 入 ， 但 目前 没有 支持 这 一 功能 的 计划 。 


程序 员 注 记 


如 果 你 正在 开发 Apache 2.0 mod isapi 模块 ， 你 必须 严格 按照 以 下 指令 的 限制 来 调 


用 ServerSupportFunction 


HSE REQ SEND URL REDIRECT RESP 





重 定向 用 户 到 其 它 的 位 置 。 必 须 使 用 完整 的 、 合法 的 URL( 比 如 : http://server/location )o 


HSE REQ SEND URL 


重 定向 用 户 到 其 它 的 位 置 。 这 里 不 能 使 用 一 个 完整 的 URL， 你 不 可 以 传人 协议 或 服务 器 名 ( 例 
如 : /Location Jo 这 类 重 定向 由 服务 器 来 处 理 ， 不 是 浏览 器 。 


fk He 
F3 


Di 


在 最 近 发 布 的 文档 中 ， 微 软 已 经 试图 放弃 这 两 个 HSE_REQ_SEND_URL BARA $|, {Apache 
是 将 它们 视 为 两 个 不 同 的 函数 加 以 不 同 的 实现 。 

HSE_REQ SEND. RESPONSE. HEADER 

如 果 在 请 求 头 字符 串 变 量 中 ， 请 求 头 的 内 容 后 面 紧 跟 一 个 空 行 (两 个 连续 的 换行 )， 然 后 再 加 上 


请 求 体 的 内 容 ，Apache 能 接受 这 一 相应 的 请 求 体 。 因 为 请 求 头 变量 是 以 NULL 结 束 的 ， 这 个 
请 求 体 里 不 能 包含 NULL。 


HSE_REQ_DONE_WITH_SESSION 





Apache 认 为 这 是 一 个 空 操作 ， 因 为 当 ISAPI 人 处理 返回 时 ， 会 话 就 结束 了 。 


HSE REQ MAP URL TO PATH 





Apache 将 虚拟 名 字 转 换 为 物理 名 字 。 


HSE APPEND LOG PARAMETER 
日 志 信 息 可 以 在 以 下 任 一 地 方 捕获 


e ft CustomLog 指使 中 的 \"%{isapi-parameter}n\" 元 素 里 
e JE" ISAPIAppendLogToquery on "指令 中 的 " «q "日 志 元 素 里 
e FH" rsaPIAppendLogToErrors on " 指 邻 所 产生 的 错误 日 志 
第 一 行 的 %{isapi-parameter}n 元 素 总 是 可 用 的 ， 并 且 是 推荐 的 。 
HSE REQ IS KEEP CONN 
返回 Keep-Alive 的 协商 状态 。 


HSE_REQ_SEND_RESPONSE_HEADER_EX 


即使 fKeepConn 标志 被 忽略 ， 还 是 按 有 证 书 的 方式 来 义理。 


HSE_REQ_IS_CONNECTED 
如 果 请 求 退出 则 报告 错误 。 
对 于 所 有 不 支持 的 serversupportFunction 调用 ，Apache 返 回 Farse ， 同 时 


将 GetLastError 的 值 置 为 ERROR_INVALID_PARAMETER o 


ReadClient 越过 初始 缓冲 区 (由 rsaPIReadAheadBuffer 指令 定义 ) 得 到 请 求 的 数据 包 。 根 

据 ISAPIReadAheadBuffer (在 调用 ISAPI 人 处 理 前 缓冲 的 数据 字 节 数 ) 的 设 定 ， 较 小 的 请 求 包 当 请 
求 被 调用 时 ， 直 接 完全 地 传送 到 ISAPI 扩 展 。 如 果 请 求 包 很 长 ，ISAPI 扩 展 必 须 使 

用 Readclient 得 到 剩 下 的 请 青 求 数据 。 


支持 writeclient ， 但 只 能 使 用 usE 10 sYNc 标志 或 不 带 标志 (" 6 " 值 )。 任 何其 它 
的 writeclient 请 求 会 被 拒绝 ， 并 且 返 回 Fase ， 同 时 GetLastError 的 值 被 置 


为 ERROR INVALID PARAMETER 。 


支持 GetServerVariable , 虽然 扩展 服务 变量 不 存在 (定义 在 其 它 服务 器 上 )。 包 
括 ALL_HTTP 和 ALL Raw ， 所 有 的 常规 Apache CGI 环境 变量 都 可 以 通过 Getservervariable 得 


到 。 


Apache 2.0 mod isapi 支持 后 来 版 本 的 ISAPI 规 范 中 的 新 增 功 能 ， 上 比如 对 异步 |/O 的 有 限 仿真 
及 TransmitFile 语义 。Apache 同 时 也 支持 ISAPI .dlls 的 预 载 入 以 提高 性 能 ， 以 上 这 些 在 
Apache1.3 mod isapi 都 没有 实现 。 


ISAPIAppendLogToErrors 1&4 


3 BH 把 ISAPI 扩 展 的 usE APPEND LOG PARAMETER 请 求 记录 在 错误 日 志 


语法 ISAPIAppendLogToErrors on&£124;off 

默认 值 ISAPIAppendLogToErrors off 

作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 

状态 基本 (B) 

模块 mod isapi 


把 ISAPI 扩 展 的 HSE_APPEND_LOG_PARAMETER 请 求 记 录 在 错误 日 志 


ISAPIAppendLogToQuery 184: 


说 明 把 ISAPI 扩 展 的 HSE_APPEND_LOG_PARAMETER 请 求 记 录 在 查询 域 中 
语法 ISAPIAppendLogToQuery on&#124; of f 
默认 值 ISAPIAppendLogToQuery on 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 基本 (B) 
模块 mod_isapi 


把 ISAPI 扩 展 的 usE APPEND LOG PARAMETER 请 求 记录 在 查询 域 中 (追加 在 customLog %q 元 素 后 
面 )。 


ISAPICacheFile 1&4 


说 明 启动 时 载 入 的 ISAPI 动 态 连 接 库 
语法 ISAPICacheFile file-path [file-path] ... 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod isapi 


指定 一 个 需 在 Apache 服 务 和 启动 的 时 候 载 人 的 以 空格 分 隅 的 文件 列表 ， 这 些 文件 驻 留 在 系统 中 
直至 服务 器 关闭 。 本 指令 可 以 为 每 个 需要 的 ISAPI 动 态 连 接 库 文 件 所 重复 。 应 指定 每 个 文件 的 
路 径 。 如 果 不 是 绝对 路 径 ， 则 会 基于 serverRoot 来 多 理 相 对 路 径 。 


ISAPIFakeAsync #83 


说 明 为 ISAPI 回 调 模拟 异步 支持 
语法 ISAPIFakeAsync on&#124; off 
默认 值 ISAPIFakeAsync off 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 基本 (B) 
模块 mod isapi 


当 设 为 ohn 时， 模拟 ISAPI 回 调 的 异步 支持 。 


ISAPILogNotSupported 184; 


说 明 记录 ISAPI 不 支持 的 功能 调用 
语法 ISAPILogNotSupported on&#124; off 
默认 值 ISAPILogNotSupported off 
作用 域 server config, virtual host, directory, .htaccess 
fem i Filelnfo 
状态 基本 (B) 
模块 mod isapi 


在 服务 错误 日 志 中 记录 所 有 ISAPI 扩 展 不 支持 的 请 求 。 本 指令 可 以 帮助 系统 管理 员 跟 踪 错 误 。 
把 这 个 指令 定义 为 on 以 后 ， 如 果 所 有 的 ISAPI 模 块 都 工作 良好 ， 应 该 把 它 设 回 为 Off。 


ISAPIReadAheadBuffer #84 


说 明 传送 到 ISAPI 扩 展 的 预 读 缓冲 区 大 小 
EmGk ISAPIReadAheadBuffer size 
默认 值 ISAPIReadAheadBuffer 49152 
VE FA server config, virtual host, directory, .htaccess 
Emi Filelnfo 
状态 基本 (B) 


模块 mod isapi 


定义 初始 调用 时 传送 到 ISAPI 扩 展 的 最 大 预 读 缓 冲 区 大 小 。 所 有 其 它 的 数据 必须 通 
过 Readclient 回调 功能 得 到 ; 部 分 ISAPI 扩 展 可 能 不 支持 Readclient 功能 。 请 参考 ISAPI 扩 展 
本 身 对 相关 问题 描述 。 


Apache 模 块 mod Idap 


说 明 为 其 它 LDAP 模 块 提 供 LDAP 连 接 池 和 结果 缓冲 服务 
状态 扩展 (E) 
模块 名 Idap module 
源 文件 util_ldap.c 
兼容 性 仅 在 Apache 2.0.41 及 以 后 的 版 本 中 可 用 
概述 


本 模块 通过 后 端 连 接 LDAP 服 务 来 改善 网 站 性 能 。 除 了 标准 LDAP 库 提供 的 功能 外 ， 本 模块 增 
加 了 一 个 LDAP 连 接 池 和 一 个 LDAP 共 享 内 存 缓冲 区 。 


为 了 使 用 本 模块 的 功能 ，LDAP 支 持 必须 编译 进 APU。 这 是 通过 在 编译 Apache 时 ， 
在 configure 脚本 命令 行 上 增加 --with-1dap 开关 来 实现 的 。 


为 了 支持 SSL/TLS ， 需 要 APR 连 接 以 下 一 个 LDAP SDK : OpenLDAP SDK(2.x 或 更 新 )， 
Novell LDAP SDK, Mozilla LDAP SDK, 本 地 Solaris LDAP SDK (基于 Mozilla), 本 地 Microsoft 
LDAP SDK, iPlanet (Netscape) SDK 。 参 见 APR 网 站 以 获取 更 多 信息 。 


示例 配置 


下 面 的 配置 是 一 个 使 用 mod 1dap 模块 来 提升 mod_authnz_ldap 提供 的 HTTP 基 本 认证 性 能 的 例 
于 5 


# 开启 LDAP 连 接 池 及 共享 内 存 缓 冲 。 
# 开启 LDAP 缓 冲 状态 处 理 器 。 需 要 载 和 m0d_ldap 和 mod_authnz_ldap 模 块 。 
# 把 "yourdomain.example.com" 改 为 你 真实 的 域名 。 
LDAPSharedCacheSize 200000 
LDAPCacheEntries 1024 
LDAPCacheTTL 600 
LDAPOpCacheEntries 1024 
LDAPOpCacheTTL 600 
«Location /ldap-status> 
SetHandler ldap-status 
Order deny,allow 
Deny from all 
Allow from yourdomain.example.com 
AuthLDAPEnabled on 
AuthLDAPURL ldap://127.0.0.1/dc=example, dc=com?uid?one 
AuthLDAPAuthoritative on 


require valid-user 
</Location> 


LDAP: #238 


LDAP 连 接 是 在 请 求 之 间 共 享 的 。 这 就 允许 LDAP 服 务 器 在 跳 过 unbind->connect->rebind 这 样 
一 个 工作 周期 的 情况 下 ， 保 留连 接 以 减少 为 下 一 次 请 求 准备 连接 的 时 间 。 这 种 性 能 优化 有 点 
象 HTTP 服 务 的 Keep-Alives 功 能 。 

在 一 个 比较 繁忙 的 服务 器 上 ， 很 有 可 能 许多 请 求 同 时 尝试 与 同一 个 LDAP 服 务 进 行 连接 并 得 到 
它 的 服务 。 如 果 一 个 LDAP 连 接 正在 使 用 ，Apache 会 在 原来 连接 的 基础 上 ， 生 成 一 个 新 的 连 
接 。 这 将 确保 连接 池 不 会 成 为 瓶颈 。 


不 需要 在 Apache 配 置 中 手动 开启 连接 池 功 能 。 任 何 使 用 本 模块 来 访问 LDAP 服 务 的 模块 会 自 
动 共享 连接 池 。 


LDAP: >} 


为 了 改善 性 能 ， mod_ldap 模块 使 用 一 种 积极 的 缓冲 策略 以 尽量 减少 与 LDAP 服 务 器 的 联系 。 
通过 缓冲 ， 可 以 方便 地 使 Apache 在 提供 受 mod_authnz ldap 保 护 的 页 面 时 ， 得 到 二 倍 或 三 倍 
的 吞吐 量 。 同 时 ，LDAP 服 务 器 的 负载 也 会 明显 地 减 小 。 


mod ldap 支持 两 种 类 型 的 LDAP 缓 冲 。 在 search/bind 阶 段 ， 使 用 一 个 searchbjna 缓 冲 ， 在 
compare 阶 段 ， 使 用 两 个 operation 缓 冲 。 服 务 器 引用 的 每 个 LDAP URL 都 有 一 组 它 自己 的 上 述 
三 个 缓冲 。 


Search/Bind 组 ， 


处 理 一 个 查询 和 绑 定 操作 对 LDAP 实 施 来 讲 ， 是 非常 耗 时 ， 尤 其 当 目 录 很 大 时 ， 这 一 点 更 加 明 
显 。Search/bind 缓 冲 用 来 缓冲 所 有 的 最 终 能 成 功 绑 定 的 查询 。 失 败 的 结果 (比如 : 不 成 功 的 查 
询 或 查询 结果 无 法 成 功 绑 定 ) 不 会 被 缓冲 。 这 样 做 是 因为 信任 关系 失败 的 连接 在 所 有 连接 中 只 
占 了 很 小 的 一 个 百分比 ， 因 此 ， 通 过 不 缓冲 这 些 连接 ， 可 以 减少 缓冲 区 的 大 小 。 


mod ldap 在 缓冲 区 里 储存 了 用 户 名 、 得 到 的 DN 、 用 来 绑 定 的 口令、 线 定 的 时 间 。 当 一 个 新 
的 连接 用 同一 个 用 户 名 来 初始 化 的 时 候 ， mod_ldap 将 新 的 连接 的 口令 与 保存 在 缓冲 区 里 的 口 
今 进 行 比较 。 如 果 口 邻 匹配 ， 并 且 那 个 缓冲 项 目 尚未 失效 的 话 ， mod_ldap 就 跳 过 search/bind 
阶段 。 


查询 与 绑 定 缓冲 由 LpDApPcacheEntries 和 LDAPCacheTTL 指令 来 控制 。 


Operation: m 


在 区 分 与 辨别 过 程 中 ， mod_ldap 使 用 两 个 操作 缓冲 区 来 缓冲 比较 的 操作 。 第 一 个 缓冲 区 用 来 
缓冲 是 否 LDAP 组 成 员 的 测试 结果 ， 第 二 个 用 来 缓冲 不 同名 字 间 鉴别 的 比较 结果 。 


这 两 个 缓冲 区 都 是 由 LpApPopcacheEntries 和 LDAPopcacheTTL 指使 来 控制 的 。 


缓冲 区 的 监控 


mod ldap 包含 了 一 个 完整 的 义理 器 ， 通 过 它 可 以 使 管理 员 监 控 缓 冲 区 的 性 能 。 这 个 义理 器 的 
名 字 是 ldap-status ， 因 此 可 以 用 下 列 指令 来 得 到 mod 1dap 缓冲 区 的 相关 信息 : 


«Location /server/cache-info» 


SetHandler ldap-status 
</Location> 


通过 URL http://servername/cache-info ， 管 理 员 可 以 得 到 mod 1dap 使 用 的 每 个 缓冲 的 状态 
报告 。 注 意 ， 如 果 Apache 不 支持 共享 内 存 ， 那 么 每 个 httpd 实例 都 有 它 自己 的 缓冲 区 ， 
此 ， 每 次 使 用 上 述 URL 都 可 能 会 得 到 不 同 的 结果 ， 这 取决 于 具体 哪个 httpd 320] A438 T ix 


请 求 。 


使 用 SSL/TSL 


通过 LbAPTrustedGlobalCert , LDAPTrustedClientCert , LDAPTrustedMode 指令 可 以 定义 与 
LDAP 服 务 器 建立 SSLATSL 联 接 。 这 些 指令 指定 了 使 用 的 CA 和 可 选 的 客户 端 证 书 ， 以 及 连接 
使 用 的 加 密 类 型 (none, SSL, TLS/STARTTLS)。 


# 在 636 端 口 建 立 一 个 SSL LDAP 联 接 。 需 要 模块 nod_ldap 和 mod_authnz_ldap 的 支持 。 
# 将 "yourdomain.example.com" 修 改 为 您 自己 的 域名 。 
LDAPTrustedGlobalCert CA DER /certs/certfile.der 
«Location /ldap-status» 
SetHandler ldap-status 

Order deny,allow 

Deny from all 

Allow from yourdomain.example.com 

AuthLDAPEnabled on 

AuthLDAPURL ldaps://127.0.0.1/dc-example,dc-com?uid?one 

AuthLDAPAuthoritative on 


require valid-user 
</Location> 


# 在 389 端 口 建立 一 个 TLS LDAP 联 接 。 需 要 模块 mod_ldap 和 mod_authnz_ldap 的 支持 。 
# 将 "yourdomain.example.com" 修 改 为 您 自己 的 域名 。 
LDAPTrustedGlobalCert CA DER /certs/certfile.der 
«Location /ldap-status» 
SetHandler ldap-status 
Order deny,allow 
Deny from all 
Allow from yourdomain.example.com 
AuthLDAPEnabled on 


LDAPTrustedMode TLS 
AuthLDAPURL ldap://127.0.0.1/dc=example, dc=com?uid?one 


AuthLDAPAuthoritative on 


require valid-user 
</Location> 


SSL/TLS Certificates 


The different LDAP SDKs have widely different methods of setting and handling both CA and 
client side certificates. 


If you intend to use SSL or TLS, read this section CAREFULLY so as to understand the 
differences between configurations on the different LDAP toolkits supported. 


Netscape/Mozilla/iPlanet SDK 


CA certificates are specified within a file called cert7.db. The SDK will not talk to any LDAP 
server whose certificate was not signed by a CA specified in this file. If client certificates are 
required, an optional key3.db file may be specified with an optional password. The secmod 
file can be specified if required. These files are in the same format as used by the Netscape 
Communicator or Mozilla web browsers. The easiest way to obtain these files is to grab 
them from your browser installation. 


Client certificates are specified per connection using the LDAPTrustedClientCert directive by 
referring to the certificate "nickname". An optional password may be specified to unlock the 
certificate's private key. 


The SDK supports SSL only. An attempt to use STARTTLS will cause an error when an 
attempt is made to contact the LDAP server at runtime. 


4 Specify a Netscape CA certificate file 
LDAPTrustedGlobalCert CA CERT? DB /certs/cert7.db 
# Specify an optional key3.db file for client certificate support 
LDAPTrustedGlobalCert CERT KEYS DB /certs/key3.db 
4 Specify the secmod file if required 
LDAPTrustedGlobalCert CA SECMOD /certs/secmod 
«Location /ldap-status> 
SetHandler ldap-status 
Order deny,allow 
Deny from all 
Allow from yourdomain.example.com 
AuthLDAPEnabled on 
LDAPTrustedClientCert CERT NICKNAME «nickname» [password] 
AuthLDAPURL ldaps://127.0.0.1/dc=example, dc=com?uid?one 
AuthLDAPAuthoritative on 


require valid-user 
</Location> 


Novell SDK 


One or more CA certificates must be specified for the Novell SDK to work correctly. These 
certificates can be specified as binary DER or Base64 (PEM) encoded files. 


Note: Client certificates are specified globally rather than per connection, and so must be 
specified with the LDAPTrustedGlobalCert directive as below. Trying to set client certificates 
via the LDAPTrustedClientCert directive will cause an error to be logged when an attempt is 
made to connect to the LDAP server.. 


The SDK supports both SSL and STARTTLS, set using the LDAPTrustedMode parameter. If 
an Idaps:// URL is specified, SSL mode is forced, override this directive. 


# Specify two CA certificate files 

LDAPTrustedGlobalCert CA DER /certs/cacerti.der 
LDAPTrustedGlobalCert CA BASE64 /certs/cacert2.pem 

# Specify a client certificate file and key 
LDAPTrustedGlobalCert CERT_BASE64 /certs/certi.pem 
LDAPTrustedGlobalCert KEY BASE64 /certs/key1.pem [password] 
# Do not use this directive, as it will throw an error 


#LDAPTrustedClientCert CERT BASE64 /certs/certi.pem 


OpenLDAP SDK 


One or more CA certificates must be specified for the OpenLDAP SDK to work correctly. 
These certificates can be specified as binary DER or Base64 (PEM) encoded files. 


Client certificates are specified per connection using the LDAPTrustedClientCert directive. 


The documentation for the SDK claims to support both SSL and STARTTLS, however 
STARTTLS does not seem to work on all versions of the SDK. The SSL/TLS mode can be 
set using the LDAPTrustedMode parameter. If an Idaps:// URL is specified, SSL mode is 
forced. The OpenLDAP documentation notes that SSL (Idaps://) support has been 
deprecated to be replaced with TLS, although the SSL functionality still works. 


# Specify two CA certificate files 
LDAPTrustedGlobalCert CA DER /certs/cacerti.der 
LDAPTrustedGlobalCert CA BASE64 /certs/cacert2.pem 
«Location /ldap-status> 
SetHandler ldap-status 
Order deny,allow 
Deny from all 
Allow from yourdomain.example.com 
AuthLDAPEnabled on 
LDAPTrustedClientCert CERT BASE64 /certs/certi.pem 
LDAPTrustedClientCert KEY BASE64 /certs/key1.pem 
AuthLDAPURL ldaps://127.0.0.1/dc=example, dc=com?uid?one 
AuthLDAPAuthoritative on 


require valid-user 
</Location> 


Solaris SDK 


SSL/TLS for the native Solaris LDAP libraries is not yet supported. If required, install and 
use the OpenLDAP libraries instead. 


Microsoft SDK 


SSL/TLS certificate configuration for the native Microsoft LDAP libraries is done inside the 
system registry, and no configuration directives are required. 


Both SSL and TLS are supported by using the Idaps:// URL format, or by using the 
LDAPTrustedMode directive accordingly. 


Note: The status of support for client certificates is not yet known for this toolkit. 


LDAPCacheEntries 1&4 


说 明 主 LDAP 缓 冲 的 最 大 条 目 数 


语法 LDAPCacheEntries number 
默认 值 LDAPCacheEntries 1024 
VF FA server config 

状态 扩展 (E) 

模块 mod ldap 


指定 主 LDAP 缓 冲 的 最 大 条 目 数 。 这 个 缓冲 区 包含 了 成 功 的 search/bind 对 。 把 它 设 为 0 可 以 关 
闭 search/bind 缓 冲 。 默 认 值 是 1024 。 


LDAPCacheTTL 指令 


说 明 search/bind 缓 冲 项 目 有 效 时 限 
语法 LDAPCacheTTL seconds 
默认 值 LDAPCacheTTL 600 
VF FA server config 
状态 扩展 (E) 
模块 mod ldap 


指定 search/bind 缓 冲 项 目 有 效 的 时 间 ， 以 秒 为 单位 。 黑 认为 600 秒 (10 分 钟 )。 


LDAPConnectionTimeout 1&4 


说 明 指定 套 接 字 连 接 超 时 秒 数 
语法 LDAPConnectionTimeout seconds 
作用 域 server config 
状态 扩展 (E) 
模块 mod ldap 


Specifies the timeout value (in seconds) in which the module will attempt to connect to the 
LDAP server. If a connection is not successful with the timeout period, either an error will be 
returned or the module will attempt to connect to a secondary LDAP server if one is 
specified. The default is 10 seconds. 


LDAPOpCacheEntries 184: 


说 明 LDAP compare m x B X /] 


语法 LDAPOpCacheEntries number 
默认 值 LDAPOpCacheEntries 1024 
作用 域 server config 

状态 扩展 (E) 

模块 mod ldap 


指定 mod_ldap 使 用 的 LDAP compare 缓 冲 区 大 小 。 默 认 值 是 1024 条 。 把 它 设 为 0 可 以 关闭 操 
作 缓 冲 。 


LDAPOpCacheTTL 184: 


Dt BH 操作 缓冲 有 效 时 限 
语法 LDAPOpCacheTTL seconds 
默认 值 LDAPOpCacheTTL 600 
作用 域 server config 
Tos 扩展 (E) 
模块 mod ldap 


指定 操作 缓冲 项 目的 有 效 时 长 ， 以 秒 为 单位 。 黑 认为 600 秒 。 


LDAPSharedCacheFile 1&4 


说 明 设置 共享 内 存 缓冲 区 文件 
语法 LDAPSharedCacheFile directory-path/filename 
VF FA server config 
状态 扩展 (E) 
模块 mod ldap 


设置 共享 内 存 缓冲 区 文件 。 若 未 设置 ， 将 使 用 匿名 共享 内 存 ( 若 平台 支持 )。 


LDAPSharedCacheSize 指 兮 


说 明 共享 内 存 缓冲 区 的 字 节 大 小 


语法 LDAPSharedCacheSize bytes 
默认 值 LDAPSharedCacheSize 102400 
VF FA server config 

TK 扩展 (E) 

模块 mod ldap 


指定 共享 内 存 缓冲 区 的 大 小 ， 以 Byte 为 单位 。 默 认为 100KB。 


LDAPTrustedClientCert 指 兮 


说 Sets the file containing or nickname referring to a per connection client 
明 certificate. Not all LDAP toolkits support per connection client certificates. 
S LDAPTrustedClientCert type directory-path/filename/nickname [password] 

VF 

Hi server config, virtual host, directory, .htaccess 

域 

状 

A 扩展 (E) 

模 

M mod ldap 


It specifies the directory path, file name or nickname of a per connection client certificate 
used when establishing an SSL or TLS connection to an LDAP server. Different locations or 
directories may have their own independant client certificate settings. Some LDAP toolkits 
(notably Novell) do not support per connection client certificates, and will throw an error on 
LDAP server connection if you try to use this directive (Use the LDAPTrustedGlobalCert 
directive instead for Novell client certificates - See the SSL/TLS certificate guide above for 
details). The type specifies the kind of certificate parameter being set, depending on the 
LDAP toolkit being used. Supported types are: 


e CERT DER - binary DER encoded client certificate 

CERT BASE&4 - PEM encoded client certificate 

CERT NICKNAME - Client certificate "nickname" (Netscape SDK) 
KEY DER - binary DER encoded private key 

KEY BASE64 - PEM encoded private key 


LDAPTrustedGlobalCert 指令 


说 Sets the file or database containing global trusted Certificate Authority or 
BH global client certificates 


模 
X 


LDAPTrustedGlobalCert type directory-path/filename [password] 


server config 


扩展 (E) 


mod _ ldap 


It specifies the directory path and file name of the trusted CA certificates and/or system wide 
client certificates mod 1dap should use when establishing an SSL or TLS connection to an 
LDAP server. Note that all certificate information specified using this directive is applied 
globally to the entire server installation. Some LDAP toolkits (notably Novell) require all client 
certificates to be set globally using this directive. Most other toolkits require clients 
certificates to be set per Directory or per Location using LDAPTrustedClientCert. If you get 
this wrong, an error may be logged when an attempt is made to contact the LDAP server, or 
the connection may silently fail (See the SSL/TLS certificate guide above for details). The 
type specifies the kind of certificate parameter being set, depending on the LDAP toolkit 


being used. Supported types are: 


CA DER - binary DER encoded CA certificate 

CA BASEG4 - PEM encoded CA certificate 

CA CERT7 DB - Netscape cert7.db CA certificate database file 
CA SECMOD - Netscape secmod database file 

CERT DER - binary DER encoded client certificate 

CERT BASE&4 - PEM encoded client certificate 

CERT KEYS DB - Netscape key3.db client certificate database file 
CERT NICKNAME - Client certificate "nickname" (Netscape SDK) 
CERT PFX - PKCS#12 encoded client certificate (Novell SDK) 
KEY DER - binary DER encoded private key 

KEY BASE64 - PEM encoded private key 

KEY PFX - PKCS#12 encoded private key (Novell SDK) 


LDAPTrustedMode 184i 


说 明 Specifies the SSL/TLS mode to be used when connecting to an LDAP 


server. 
语法 LDAPTrustedMode type 
作用 oe 
域 server config, virtual host, directory, .htaccess 


状态 y R(E) 
模块 mod ldap 
The following modes are supported: 


e NONE - no encryption 
e SSL - Idaps:// encryption on default port 636 
e TLS - STARTTLS encryption on default port 389 


Not all LDAP toolkits support all the above modes. An error message will be logged at 
runtime if a mode is not supported, and the connection to the LDAP server will fail. 


If an Idaps:// URL is specified, the mode becomes SSL and the setting of LDAPTrustedMode 
is ignored. 


LDAPVerifyServerCert 1847 


说 明 Force server certificate verification 
语法 LDAPVerifyServerCert On&#124;0ff 
默认 值 LDAPVerifyServerCert On 
作用 域 server config 
状态 扩展 (E) 
模块 mod ldap 


Specifies whether to force the verification of a server certificate when establishing an SSL 
connection to the LDAP server. 


Apache?& +} mod log config 


说 明 允许 记录 日 志和 定制 日 志文 件 格式 
状态 基本 (B) 
模块 名 log_config_module 
源 文件 mod log config.c 


概述 


本 模块 提供 了 灵活 的 方法 将 客户 请 求 记录 到 日 志 。 日 志 可 以 用 自 定义 的 格式 直接 写 入 文件 ， 
或 者 传送 到 一 个 外 部 程序 继续 处 理 。 条 件 日 志 功 能 可 以 实现 根据 请 求 的 特征 来 决定 一 个 日 志 
信息 是 否 被 包含 在 最 终 的 日 志 记 录 里 面 。 


本 模块 提供 了 三 个 指令 : TransferLog 指令 用 来 指定 日 志文 件 ， LogFormat 指使 用 来 定义 日 志 
格式 ， customLog 指令 可 以 同时 完成 指定 日 志文 件 和 定义 日 志 

式 。 TransferLog 和 customLog 指令 在 每 个 服务 器 上 都 可 以 被 多 次 使 用 ， 以 便 将 同一 个 请 求 记 
录 到 多 个 文件 中 。 


定制 日 志文 件 格 式 


LogFormat 和 CustomLog 指 邻 的 格式 化 参数 是 一 个 字符 串 。 这 个 字符 串 会 在 每 次 请 求 发 生 的 时 
候 ， 被 记录 到 日 志 中 去 。 它 可 以 包含 将 被 原样 写 人 日 志 的 文本 字符 串 以 及 C 风 格 的 控制 字 
符 "\n" 和 "\t" 以 实现 换行 与 制 表 。 文 本 中 的 引号 和 反 斜 杠 应 通过 "\" 来 转 义 。 


请 求 本 身 的 情况 将 通过 在 格式 字符 串 中 放置 各 种 " % " 转 义 符 的 方法 来 记录 ， 它 们 在 写 人 日 志 
文件 时 ， 根 据 下 表 的 定义 进行 转换 : 


格式 字符 串 描述 
%% 百 分 号 (Apache2.0.44 或 更 高 的 版 本 ) 
%a iz Ug IP Hb HE 

%A 本 机 IP 地 址 

%B 除 HTTP 头 以 外 传送 的 字 节 数 


以 CLF 格 式 显 示 的 除 HTTP 头 以 外 传送 的 字 节 数 ， 也 就 是 当 没 有 字 节 传送 
时 显示 ' - ' 而 不 是 0。 


%{Foobar }C 在 请 求 中 传送 给 服务 端的 cookieFoobar 的 内 容 。 
%D 服务 器 处 理 本 请 求 所 用 时 间 ， 以 微 为 单位 。 


%b 


%{FOOBAR}e 
%f 
%h 
%H 


%{Foobar}i 


%1 


%m 
%{Foobar }n 
%{Foobar }o 
%p 


%P 


%{Fformat}P 


%q 


96r 


96S 


%t 


%{format}t 


%T 


%u 


96U 
96V 


%V 


%X 


%I 


%0 


环境 变量 FOOBAR 的 值 


请 求 使 用 的 协议 
发 送 到 服务 器 的 请 求 关 Foobar: HAA. 
远 端 登录 名 (由 identd 而 来 ， 如 果 支 持 的 话 )， 除 非 Identitycheck ik 


A" on "， 否 则 将 得 到 一 个 "-"。 
请 求 的 方法 

来 自 另 一 个 模块 的 注解 Foobar HAA. 
应 答 头 Foobar: MAA. 

服务 器 服务 于 该 请 求 的 标准 端口 。 

为 本 请 求 提供 服务 的 子 进程 的 PID。 


服务 于 该 请 求 的 PID 或 TID( 线 程 ID)， format 的 取 值 范围 
为 : pid 和 tid (2.0.46 及 以 后 版 本 ) 以 及 hextid (需要 APR1.2.0 及 以 上 
版 本 ) 


查询 字符 串 ( 若 存在 则 由 一 个 " ? "引导 ， 否 则 返回 空 串 ) 
请 求 的 第 一 行 
状态 。 对 于 内 部 重 定 向 的 请 求 ， 这 个 状态 指 的 是 原始 请 求 的 状态 ，-- 


- %&gt;s 则 指 的 是 最 后 请 求 的 状态 。 
时 间 ， 用 普通 日 志 时 间 格 式 (标准 英语 格式 ) 


ati], FA strftime(3) 指定 的 格式 表示 的 时 间 。 (默认 情况 下 按 本 地 化 格 
式 ) 


处 理 完 请 求 所 花 时 间 ， 以 秒 为 单位 。 

远程 用 户 名 (根据 验证 信息 而 来 ; 如 果 返 回 status( xs ) 为 401， 可 能 是 假 
的 ) 

请 求 的 URL 路 径 ， 不 包含 查询 字符 串 。 

对 该 请 求 提 供 服务 的 标准 serverName o 

根据 usecanonicalName 指 今 设 定 的 服务 器 名 称 。 


请 求 完成 时 的 连接 状态 : x = 连接 在 应 答 完 成 前 中 断 。 + = 应 答 传 送 完 
后 继续 保持 连接 。 - = 应答 传 送 完 后 关闭 连接 。 (在 1.3 以 后 的 版 本 中 ， 
这 个 指令 是 wc ， 但 这 样 就 和 过 去 的 SSL 语 法 : x{var}c 冲突 了 ) 


接收 的 字 节 数 ， 包 括 请 求 头 的 数据 ， 并 且 不 能 为 需 。 要 使 用 这 个 指令 你 必 
须 启 用 mod 1ogio 模块 。 
发 送 的 字 节 数 ， 包 括 请 求 头 的 数据 ， 并 且 不 能 为 雳 。 要 使 用 这 个 指令 你 必 
须 启 用 mod_logio 模块 。 


修饰 符 


可 以 紧 跟 在 "%" 后 面 加 上 一 个 逗号 分 隔 的 状态 码 列表 来 限制 记录 的 条 目 。 例 

如 ，" %400,501{User-agent}i "只 记录 状态 码 400 和 501 发 生 时 的 user-agent 关内 容 ; 不 满足 条 
件 时 用 " - "代替 。 状 态 码 前 还 可 以 加 上 " ! "前 级 表示 否定 ，" %!200,304,302{Referer}i "记录 
所 有 _ 不同 于 _200,304,302 的 状态 码 发 生 时 的 Referer KANAB, 


"<" 和 ">" 修 饰 符 可 以 用 来 指定 对 于 已 被 内 部 重 定向 的 请 求 是 选择 原始 的 请 求 还 是 选择 最 终 的 请 
求 。 默 认 情 况 下 ， «s, %u, wr, «D, %r 使 用 原始 请 求 ， 而 所 有 其 他 格式 串 则 选择 最 终 请 求 。 

例如 ， wg&gt;s 可 以 用 于 记录 请 RIBARA, 而 %&lt;u 则 记录 一 个 已 经 被 内 部 重 定向 到 
非 认证 资源 的 请 求 的 原始 认证 用 户 。 


一 些 说 明 


出 于 安全 考虑 ， 从 2.0.46 版 本 开始 ， wr ，%i ，%o 中 的 特殊 字符 ， 除 了 双 引 号 (和 反 斜 线 () 
分 别 用 \" INN 进行 转 义 、 空 白字 符 用 C 风 格 ( n, \t 等 ) 进 行 转 义 以 外 ， 非 打印 字符 和 
其 它 特殊 字符 使 用 \xhh 格式 进行 转 义 (hh 是 该 字符 的 16 进 制 编码 )。 在 2.0.46 以 前 的 版 本 中 ， 
这 些 内 容 会 被 完整 的 按 原样 记录 。 这 种 做 法 将 导致 客户 端 可 以 在 日 志 中 插入 控制 字符 ， 所 以 
你 在 处 理 这 些 日 志文 件 的 时 候 要 特别 小 心 。 


在 2.0 版 本 中 (不 同 于 1.3)， xb 和 «e 格式 字符 串 并 不 表示 发 送 到 客户 端的 字 节 数 ， 而 只 是 简 
单 的 表示 HTTP 应 答 字 节 数 (在 连接 中 断 或 使 用 SSL 时 与 前 者 有 所 不 同 )。 mod_logio 提供 的 
%0 格式 字符 串 将 会 记录 发 送 的 实际 字 节 数 。 


示例 
一 些 常见 的 格式 串 : 
通用 日 志 格式 (CLF) 
"96h 961 96u 96t \"%r\" 96&gt;s 96b" 
带 虚 拟 主 机 的 通用 日 志 格 式 
"%v %h 9?6l %u %t \"%r\" 96&gt;s %b" 


NCSA 扩 展 /组 合 日 志 格 式 

"96h 961 %u 96t \"%r\" 96&gt;s %b \"%{Referer}i " \"%{User-agent}i\"" 
Referer 日 志 格 式 

"%fReferer}i -&gt; %U" 


Agent(Browser) 日 志 格 式 


"%{User-agent}i" 


安全 考虑 


如 果 放 置 日 志文 件 的 目录 对 除 启 动 Apache 服 务 以 外 的 其 他 用 户 可 写 ， 可 能 会 对 系统 的 安全 性 
造成 威胁 ， 具 体 的 讨论 请 参见 安全 方面 的 提示 。 


BufferedLogs 指 今 


说 明 在 将 日 志 写 入 磁盘 前 先 在 内 存 中 进行 缓冲 
语法 BufferedLogs On&#124; Off 
默认 值 BufferedLogs Off 
作用 域 server config 
状态 基本 (B) 
模块 mod log config 
兼容 性 仅 在 Apache 2.0.41 及 以 后 的 版 本 中 可 用 


BufferedLogs 指令 使 得 mod log config 先 在 内 存 中 缓冲 一 些 日 志 容 ， 然后 一 次 性 写 入 磁 
盘 ， 而 不 是 立即 写 信 。 在 一 些 系 统 上 这 样 做 可 以 提高 磁 瘟 性 能 。 这 个 设置 仅 能 够 针对 全 局 进 


m 


行 设置 ， 不 能 单独 针对 虚拟 主机 进行 设置 。 


这 是 一 个 试验 性 的 指令 ， 请 在 使 用 中 多 加 小 心 。 


CookieLog #83 


说 明 设 定 针 对 cookies 的 日 志文 件 名 
语法 CookieLog filename 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod log config 
兼容 性 反对 使 用 该 指 兮 


CookieLog 1&4 fi FH cookies E 4 日 志文 件 名 。 文件 是 相对 于 ServerRoot 目录 的 。 包含 本 指 今 
仅仅 是 为 了 保持 与 mod cookies 模块 的 兼容 ， 并 且 反 对 使 用 。 


CustomLog #83 


说 明 日 志 的 文件 名 和 格式 


语法 CustomLog file&#124;pipe format&4124;nickname [env-[!]environment-variable] 
ia server config, virtual host 

状态 基本 (B) 

模块 mod log config 


CustomLog pisei sedis 井 行 日 志 记 录 。 可 以 指定 日 志 的 格式 ， 也 可 以 使 用 环境 
变量 根据 请 求 的 特征 来 自由 地 组 织 日 志 。 


第 一 个 参数 指定 了 日 志 记 录 的 位 置 ， 可 以 使 用 以 下 两 种 方式 来 设 定 : 
file 

相对 于 serverRoot 的 日 志文 件 名 。 

pipe 

管道 符 " | "后 面 紧 跟着 一 个 把 日 志 输 出 当 作 标准 输入 的 处 理 程 序 路 径 。 


安全 
如 果 这 里 用 到 了 程序 ， 那 么 这 个 程序 是 以 启动 httpd 的 用 户 来 执行 的 。 因 此 如 果 馈 动 httpd 的 
用 户 是 root ， 那 这 个 程序 也 将 以 root 身 份 来 运行 ; 你 需要 确认 这 个 程序 是 安全 的 。 


ha = at 
z © 


UMP E d 至 的 时 候 ， 要 特别 ee 

径 的 ， 在 这 里 也 只 能 使 用 正 斜 杠 (/)。 通 常 在 配置 文件 里 只 用 正 斜 杠 (/) 来 分 隔 路 径 总 是 不 会 错 
第 二 个 参数 指定 了 写 入 日 志文 件 的 内 容 。 它 既 可 以 是 由 前 面 的 LogFormat 指令 定义 的 
nickname ， 也 可 以 是 直接 按 日 志 格 式 一 节 所 描述 的 规则 定义 的 format 字 符 串 。 


例如 : 以 下 两 组 指令 的 结果 是 完全 一 样 的 : 


# 使 用 nickname 

LogFormat "%h 961 %u 96t \"%r\" %>s 96b" common 
CustomLog logs/access log common 

# 明确 使 用 格式 格式 字符 串 


CustomLog logs/access log "%h 96l %u 96t \"%r\" 9695s 96b" 


第 三 个 参数 是 可 选 的 ， 它 根据 服务 器 上 特定 的 环境 变量 是 否 被 设置 来 决定 是 否 对 某 一 特定 的 
请 求 进行 日 志 记 录 。 如 果 这 个 特定 的 环境 变量 被 设置 (或 者 在 " enveiname "的 情况 下 未 被 设 
置 )， 那 么 这 个 请 求 将 被 记录 。 


m 


可 以 使 用 mod_setenvif 和 /或 mod_rewrite 模块 来 为 每 个 请 求 设置 环境 变量 。 例 如 : 如 果 你 想 
在 服务 器 上 将 所 有 对 GIF 图 片 的 请 求 记 录 在 不 同 于 主 日 志文 件 的 另 一 个 日 志文 件 中 ， 你 可 以 使 
用 下 面 的 指令 : 


SetEnvIf Request URI \.gif$ gif-image 
CustomLog gif-requests.log common env=gif -image 


CustomLog nongif-requests.log common env=!gif -image 


或 者 为 了 复制 日 有 的 Refererlgnore 指 邻 的 行为 ， 你 可 以 使 用 下 面 的 指令 : 


SetEnvIf Referer exampleN.com localreferer 


CustomLog referer.log referer env=!localreferer 


LogFormat 
说 明 定义 访问 日 志 的 记录 格式 
语法 LogFormat format&£124;nickname [nickname] 
默认 值 LogFormat "%h 9l Xu %t \"%r\" 9&gt;s %b" 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod log config 


本 指令 定义 访问 日 志 的 记录 格式 。 


LogFormat 指使 可 以 使 用 两 种 定义 格式 中 的 一 种 。 在 第 一 种 格式 中 ， 指令 只 带 一 个 参数 ， 以 
定义 后 续 的 TransferLog 指令 定义 的 日 志 格式 。 这 个 唯一 的 参数 可 以 按 上 述 自 定义 日 志 格 式 小 
节 所 描述 的 format 来 定义 。 另 外 它 也 可 以 通过 下 述 的 方法 使 用 nickname 来 引用 某 个 之 前 

的 LogFormat 定义 的 日 志 格 式 。 


第 二 种 定义 LogFormat 指令 的 格式 中 ， 将 一 个 直接 的 format 和 一 个 nickname 联 系 起 来 。 这 样 
在 后 续 的 LogFormat 或 CustomLog ES , 就 不 用 一 再 重 整个 元 长 的 格式 串 。 定义 别 | 名 

的 LogFormat 指 合 仅仅 用 来 定义 一 个 nickname ， 而 不 做 其 它 任 何事 情 : 也 就 是 说 ， 它 只 是 定 
义 了 这 个 别名 ， 它 既 没 有 实际 应 用 这 个 别名 ， 也 不 是 把 它 设 为 默认 的 格式 。 因 此 ， 它 不 会 影 
响 后 续 的 TransferLog 指令 。 另外 ， LogFormat 不 能 用 一 个 别名 来 定义 另 一 个 别名 。 注 意 ， 别 
名 不 能 包含 百 分 号 ( % )。 


示例 


LogFormat "95v 96h 961 96u 96t \"%r\" 9695s %b" vhost_common 


TransferLog 184 


说 明 指定 日 志文 件 的 位 置 
语法 TransferLog filea#124;pipe 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod log config 


本 指 今 除 不 允许 直接 定义 日 志 格 式 或 根据 条 件 进 行 日 志 记录 外 ， 和 与 customLog 指令 有 完全 相 
同 的 参数 和 功能 。 实 际 应 用 中 ， 日 志 的 格式 是 由 最 近 的 非 别名 定义 的 LogFormat 指令 指定 。 
如 果 没 有 定义 任何 日 志 格式 ， 则 使 用 通用 日 志 格 式 。 


示例 


LogFormat "%h 961 %u 96t \"%r\" %>s 96b \"%{Referer}i\" \"%{User-agent}i\"" 


TransferLog logs/access_log 


Apache mod log forensic 


说 明 实现 "对 上 比 日 志 "， 即 在 请 求 被 处 理 之 前 和 人 处理 完成 之 后 进行 两 次 记录 
状态 扩展 (E) 
模块 名 log forensic module 


源 文件 mod log forensic.c 


兼容 性 mod unique id is no longer required since version 2.1 


概述 


This module provides for forensic logging of client requests. Logging is done before and 
after processing a request, so the forensic log contains two log lines for each request. The 
forensic logger is very strict, which means: 


e The format is fixed. You cannot modify the logging format at runtime. 
e |f it cannot write its data, the child process exits immediately and may dump core 
(depending on your corepumpbirectory configuration). 


check forensic Script, which can be found in the distribution's support directory, may be 
helpful in evaluating the forensic log output. 


Forensic Log Format 


Each request is logged two times. The first time is before it's processed further (that is, after 
receiving the headers). The second log entry is written after the request processing at the 
same time where normal logging occurs. 


In order to identify each request, a unique request ID is assigned. This forensic ID can be 
cross logged in the normal transfer log using the %{forensic-id}n format string. If you're 
using mod unique id , its generated ID will be used. 


The first line logs the forensic ID, the request line and all received headers, separated by 
pipe characters ( | ). Asample line looks like the following (all on one line): 


+yQt JF 8COAB4AAFNXBIEAAAAA |GET /manual/de/images/down.gif 
HTTP/1.1|Host:localhost963a8080|User-Agent:Mozilla/5.0 (X11; 

U; Linux i686; en-US; rv%3a1.6) Gecko/20040216 
Firefox/0.8|Accept:image/png, «var class="calibre40">etc...</var> 


The plus character at the beginning indicates that this is the first log line of this request. The 
second line just contains a minus character and the ID again: 


-yQt Jf8COABAAAFNXBIEAAAAA 


check forensic Script takes as its argument the name of the logfile. It looks for those + / - 
ID pairs and complains if a request was not completed. 


Security Considerations 


See the security tips document for details on why your security could be compromised if the 
directory where logfiles are stored is writable by anyone other than the user that starts the 
server. 


ForensicLog #83 


说 明 Sets filename of the forensic log 
语法 ForensicLog filename&#124; pipe 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod log forensic 


ForensicLog directive is used to log requests to the server for forensic analysis. Each log 
entry is assigned a unique ID which can be associated with the request using the normal 

CustomLog directive. mod log forensic creates a token called forensic-id , which can be 
added to the transfer log using the %{forensic-id}n format string. 


The argument, which specifies the location to which the logs will be written, can take one of 
the following two types of values: 


filename 
A filename, relative to the serverRoot . 
pipe 


The pipe character " | ", followed by the path to a program to receive the log information on 
its standard input. The program name can be specified relative to the serverRoot directive. 


安全 


If a program is used, then it will be run as the user who started httpd . This will be root if the 
server was started by root; be sure that the program is secure or switches to a less 
privileged user. 


MI 
LERRA 


When entering a file path on non-Unix platforms, care should be taken to make sure that 
only forward slashed are used even though the platform may allow the use of back slashes. 
In general it is a good idea to always use forward slashes throughout the configuration files. 


Apache à mod logio 


说 明 对 每 个 请 求 的 输入 /输出 字 节 数 以 及 HTTP 头 进行 日 志 记录 
状态 扩展 (E) 
模块 名 logio_module 
源 文件 mod logio.c 


概述 


本 模块 可 以 对 每 个 请 求 的 输入 /输出 字 节 数 进 行 日 志 记 录 。 这 个 字 节 数 反映 网 络 上 实际 传输 的 
字 节 数 ， 它 包括 了 请 求 头 与 响应 头 正文 的 字 节 数 之 和 。 输 入 计数 在 SSL/TLS 之 前 进行 ， 输 出 
计数 在 SSL/TLS 之 后 进行 ， 因 此 计数 能 正确 反映 加 密 所 造成 的 影响 。 


本 模块 需要 mod log config 模块 的 支持 。 
自 定义 日 志 格 式 


本 模块 加 入 了 两 个 新 的 日 志 指令 。 请 求 特征 由 在 格式 字符 串 里 加 " % " 指 倒 完 成 。 在 日 志文 件 
中 ， 它 的 值 按 以 下 方式 被 记录 : 


格式 字符 串 说 明 
%I 接收 的 字 节 数 ， 包 含 头 与 正文 ， 不 能 为 需 。 
X0 发 送 的 字 节 数 ， 包 含 头 与 正文 ， 不 能 为 需 。 


通常 ， 本 功能 按 下 述 方式 使 用 : 
组 合 |/O 日 志 格 式 : 


"%h %1 %u %t \"%r\" 96&gt;s %b \"%{Referer}i\" \"%{User-agent}i\" %I %0" 


Apache 模 块 mod mem cache 


说 明 基于 内 存 的 缓冲 管理 器 
状态 扩展 (E) 
模块 名 mem cache module 
源 文件 mod mem cache.c 


概述 


本 模块 需要 mod_cache 提供 的 服务 。 它 作为 mod_cache 的 辅助 模块 工作 ， 以 提供 基于 内 存 的 存 
储 管理 。 mod mem cache 模块 可 以 按 两 种 方法 来 配置 : 缓存 打开 的 文件 描述 符 ， 或 缓存 堆 中 的 
对 象 。 mod_mem_cache 大 多 数 情况 下 用 于 缓存 本 地 生成 的 内 容 ， 或 是 在 mod proxy 配置 

成 ProxyPass 方式 (也 就 是 <dfn class="calibre27"> 反 向 代理 </dfn>) 时 后 端 服务 器 产生 的 内 容 。 


被 缓存 的 内 容 通过 基于 URI 的 键 被 保存 到 缓冲 区 或 从 缓冲 区 取出 。 带 访问 保护 的 内 容 不 会 被 组 
存 。 


MCacheMaxObjectCount 184; 


说 明 最 大 缓存 对 象 数 
语法 MCacheMaxObjectCount value 
默认 值 MCacheMaxObjectCount 1099 
作用 域 server config 
状态 扩展 (E) 
模块 mod mem cache 


MCacheMaxObjectCount 指使 设 定 最 大 缓存 对 象 数 。 这 个 值 用 来 生成 开放 哈 希 表 。 如 果 一 个 新 的 
对 象 要 被 插入 缓存 ， 而 此 时 缓存 的 最 大 缓存 对 象 数 已 达到 极限 ， 原 来 缓存 的 某 个 对 象 会 被 移 
走 以 允许 新 对 象 插入 缓存 。 具体 哪个 对 象 被 移 走 ， 是 通过 MCacheRemovalAlgorithm EDH EPY 
算法 来 确定 的 。 


示例 


MCacheMaxObjectCount 13001 


MCacheMaxObjectSize 1&4 


说 明 缓存 允许 的 最 大 文档 大 小 ( 字 节 ) 
语法 MCacheMaxObjectSize bytes 
默认 值 MCacheMaxObjectSize 10000 
作用 域 server config 
状态 扩展 (E) 
模块 mod mem cache 


MCacheMaxObjectSize 指 合 设 定 人 允许 缓存 的 最 大 文档 大 小 (以 Byte 为 单位 )。 


示例 


MCacheMaxObjectSize 6400000 
MTIÉm 


LEGS 


MCacheMaxObjectSize 的 值 必 须 大 于 MCacheMinObjectSize 的 值 。 


MCacheMaxStreamingBuffer 指 今 


说 明 内 存 中 人 允许 缓冲 的 最 大 流 式 响 应 字 节 长 度 
语法 MCacheMaxStreamingBuffer size in bytes 
默认 值 MCacheMaxStreamingBuffer 100000 与 MCacheMax0ObjectSize 中 的 小 者 


作用 域 server config 
Ts 扩展 (E) 


模块 mod mem cache 


MCacheMaxStreamingBuffer 内 存 中 人 允许 缓冲 的 最 流 式 响应 字 节 长 度 ， 以 决定 这 个 流 式 响应 是 
否 太 长 而 不 能 被 缓存 。 流 式 响应 是 指 整个 响应 内 容 无 法 完整 地 得 到 ， 并 且 Content-Length 也 
末 知 的 响应 。 流 式 响应 的 来 源 包括 代理 的 响应 内 容 和 CGI 脚 本 的 输出 。 默 认 情 况 下 ， 除 非 响 应 
头 包含 Content-Length 信息 ， 否 则 流 式 响应 不 会 被 缓存 。 这 样 做 是 为 了 避免 使 用 大 量 内 存 缓 
存 那 些 最 终 因 为 太 长 而 不 能 缓存 的 响应 。 而 McacheMaxstreamingBuffer 指令 允许 缓存 不 

& content-Length 的 流 式 响应 ， 直 到 达到 其 指定 的 值 。 如 果 达 到 了 最 大 流 式 响 应 可 缓冲 长 
度 ， 已 经 被 缓存 的 内 容 将 会 被 释放 ， 缓 存 也 不 再 继续 。 


> 
LEA : 


对 MCacheMaxStreamingBuffer FA-CE RATA o p EXER P ER, 
= mod_mem_cache 模块 将 流 式 化 的 内 容 复 制 到 缓冲 区 的 同时 会 将 数据 块 传送 到 下 一 个 输入 点 以 
传送 给 客户 端 。 


# 指定 最 大 流 式 响应 可 缓冲 长 度 为 64KB 


MCacheMaxStreamingBuffer 65536 


MCacheMinObjectSize #83 


说 明 多 许 缓存 的 最 小 文档 大 小 ( 字 节 ) 
语法 MCacheMinObjectSize bytes 
默认 值 MCacheMinObjectSize 0 
作用 域 server config 
状态 扩展 (E) 
模块 mod mem cache 


MCacheMinobjectSize 指令 设 定 允许 缓存 的 最 小 文档 大 小 。 


示例 


MCacheMinObjectSize 10000 


MCacheRemovalAlgorithm 指令 


说 明 定义 在 需要 时 哪个 文档 被 移出 缓存 的 算法 
语法 MCacheRemovalAlgorithm LRU&#124;GDSF 
默认 值 MCacheRemovalAlgorithm GDSF 
作用 域 server config 
状态 扩展 (E) 
模块 mod mem cache 


MCacheRemovalAlgorithm 指令 定义 在 需要 时 哪个 文档 被 移出 缓存 。 可 以 有 两 种 选择 : 


LRU (最 近 最 少 使 用 ) 


LRU 指定 最 长 时 间 没有 用 到 的 对 象 将 在 必要 的 时 候 移出 缓存 。 
GDsF (GreadyDual-Size) 
os 基于 缓存 命中 率 和 文档 大 小 计算 优先 级 。 在 必要 时 ， 优 先 级 最 低 的 文档 被 移出 缓存 。 


示例 


MCacheRemovalAlgorithm GDSF 


MCacheRemovalAlgorithm LRU 


MCacheSize 18$ 


说 明 缓存 允许 使 用 的 最 大 内 存量 ， 以 KB 为 单位 
语法 MCacheSize KBytes 
默认 值 MCacheSize 100 
作用 域 server config 
状态 扩展 (E) 
模块 mod mem cache 


MCachesize 指 合 设 定 缓存 人 允许 使 用 的 最 大 内 存量 ， 以 KB(1024-byte) 为 单位 。 如 果 一 个 新 的 比 
缓存 剩余 内 存量 大 的 对 象 要 插入 缓存 ， 那 么 原来 缓存 内 的 对 象 会 被 移 走 ， 直 到 这 个 新 的 对 象 
能 被 插入 缓冲 区 。 具 体 哪 个 对 象 被 移 走 ， 是 通过 MCacheRemovalAlgorithm 引 倒 指定 的 算法 来 确 
定 的 。 


示例 

MCacheSize 700000 
“~ 
TES 


MCacheSize 的 值 必须 比 McacheMaxobjectsize 的 值 大 。 


Apache mod mime 


3,88 根据 文件 扩展 名 决定 应 答 的 行为 (处 理 器 /过 滤器 ) 和 内 容 (MIME 类 型 /语言 /字符 集 / 


编码 ) 
状态 基本 (B) 
a mime module 
D^ mod mime.c 


本 模块 通过 文件 的 扩展 名 将 不 同 的 "元 信息 "与 文件 关联 起 来 。 元 信息 在 文档 的 文件 名 与 文档 的 
MIME 类 型 、 语 言 、 字 符 集 、 编 码 方式 之 间 建 立 关 联 。 最 终 元 信息 会 传送 到 服务 器 并 参与 内 容 
协商 ， 这 样 最 终 在 考虑 用 户 指定 参数 的 基础 上 ， 在 几 个 可 能 的 文件 里 选择 一 个 提供 服务 。 关 
于 内 容 协商 的 更 多 信息 ， 请 参阅 md negotiation 模块 。 


AddCharset , AddEncoding , AddLanguage , AddType 旨 邻 都 可 以 用 于 在 文件 的 扩展 名 与 文件 的 
元 信息 之 间 建 立 映射 关系 。 它 们 分 别 指明 了 文档 的 字符 集 、 编 码 方式 、 语 言 、MIME 类 型 (内 
HAY), FE Typesconfig 用 来 指定 一 个 文件 ， 它 也 包含 了 扩展 名 到 MIME 类 型 的 映射 关系 。 


另外 ， mod mime 还 可 以 定义 义理 器 和 过 滤器 来 生成 或 义理 信息 。 ES AddHandler , 
AddOutputFilter , AddInputFilter 控制 了 提供 文档 的 模块 或 脚本 的 运作 方 

式 。 MultiviewsMatch 指使 设 定 mod negotiation 模块 在 党 试 Multiview 匹 配 时 ， 如 何 义 理 文 件 
扩展 名 。 


当 mod mime 模块 在 元 信息 与 文件 的 扩展 名 之 间 建 立 映 射 以 后 ， core 提供 了 一 组 指使 用 来 建 
立 某 个 给 定 范 围 内 (也 就 是 «Location» , «Directory» , «Files» ) 所 有 相关 文件 与 特定 的 元 信 
息 之 间 的 关联 。 这 些 指令 包括 ForceType , SetHandler , SetInputFilter , SetOutputFilter 


。 core 的 指令 会 覆盖 任何 在 mod mime 模块 中 定义 的 文件 扩展 名 映射 。 


注意 ， 改 变 一 个 文件 的 元 信息 ， 不 会 改变 Last-Modified 头 的 值 。 因 此 ， 以 前 被 缓存 的 副本 可 
能 还 会 被 用 户 或 代理 服务 器 使 用 。 如 果 你 改变 了 元 信息 (语言 、 内 容 类 型 、 字 符 集 、 编 码 方 
式 )， 你 需要 "触及 "所 有 相关 文件 (更 新 他 们 的 最 后 修改 时 间 )， 以 保证 所 有 的 访问 者 都 收 到 正确 


的 内 容 标题 。 


带 多 扩展 名 的 文件 


文件 可 以 有 多 个 扩展 名 ， 这 些 扩展 名 的 顺序 一 般 情况 下 是 无 关 紧 要 的 。 例 如 : 如 果 文 

件 welcome.html.fr 被 映射 为 内 容 类 型 是 text/html 、 语 言 是 法 语 的 话 ， 文 

件 welcome.fr.html 将 被 映射 为 完全 相同 的 内 容 。 如 果 一 个 以 上 的 扩展 名 映射 到 同 种 类 型 的 元 
信息 上 ， 那 么 将 使 用 最 右边 的 那个 。 比 如 : .gif 的 MIME 类 型 是 image/gif 、 .html 的 
MIME 类 型 是 text/html ， 那 么 welcome.gif.htmi 的 MIME 类 型 将 是 text/html o 


语言 和 内 容 编码 会 按照 积累 的 方式 处 理 ， 因 为 一 个 文件 可 以 被 指定 为 多 种 语言 或 编码 。 
此 ， welcome.html.en.de 文件 将 会 按 


Ha Content-Language: en, de 和 Content-Type: text/html 发 送 。 


在 处 理 带 多 个 扩展 名 的 文件 并 且 这 些 扩展 名 同时 关联 MIME 类 型 和 处 理 器 时 ， 要 特别 小 心 。 这 
种 情况 下 通常 是 由 与 处 理 器 相关 的 模块 来 处 理 得 到 结果 。 上 比如 ， 文 件 扩 展 名 .imap ( 通 

过 mod imagemap 模块 ) 与 imap-file 义理 器 相关 联 ， 同 时 ， .html 文件 扩展 名 的 MIME 类 型 
是 text/html ， 那 么 文件 world.imap.html 将 同时 与 imap-file 义理 器 和 text/html MIME 类 
型 ` 模 块 处 理 的 图 像 映 射 文件 。 


内 容 编码 


一 个 具有 特定 MIME 类 型 的 文件 能 够 用 一 种 特定 的 方法 进行 额外 的 编码 ， 以 简化 它 在 互联 网 上 
的 传输 。 这 通常 指 的 是 压缩 ， 比 如 gzip ; 也 可 以 是 加 密 ， 例 如 pgp ; 还 可 以 是 像 
UUencoding 那 样 的 编码 ，UUencoding 是 用 来 在 ASCII( 文 本 ) 格 式 的 文件 里 ， 传 输 二 进 制 文件 
的 编码 方式 。 
HTTP/1.1 RFC 第 14.11 节 是 这 样 解释 的 : 
实体 头 的 "Content-Encoding" 域 是 媒体 类 型 的 修饰 符 。 如 果 存 在 ， 它 的 值 指明 了 对 实体 本 
身 进行 额外 编码 的 方式 ， 以 及 为 了 得 到 "Content-Type" 头 所 参照 的 媒体 类 型 而 必须 采用 的 
解码 机 制 。"Content-Encoding" 主 要 用 来 允许 一 个 文件 在 不 破坏 它 底层 媒体 类 型 的 基础 
上 ， 进 行 压 缩 。 
通过 使 用 一 种 以 上 的 文件 扩展 名 (参见 上 面 关 于 带 多 扩展 名 的 文件 一 节 )， 你 可 以 指定 文件 是 一 
种 特定 的 类 型 ， 还 可 以 同时 指定 它 特定 的 编码 方式 。 


例如 ， 你 有 一 个 文件 ， 它 是 Microsoft Word 文 档 ， 同 时 为 了 减 小 它 的 大 小 ， 它 还 被 压缩 了 。 如 
FR .doc 扩展 名 表示 Microsoft Word 文 件 类 型 ， 而 .zip 扩展 名 表示 pkzip 文 件 编码 方式 ， 那 么 
文件 Resume.doc.zip 就 会 被 认 出 是 一 个 用 pkzip 压 缩 过 的 Word 文 档 。 


Apache 把 一 个 Content-encoding 头 和 请 求 的 资源 一 起 发 送 ， 以 便 告诉 浏览 器 资源 编码 的 方 
式 。 


Content-encoding: pkzip 


"EARESRAIUE E 


除了 文件 类 型 和 文件 编码 方式 外 ， 还 有 一 个 重要 的 信息 是 文件 的 语言 以 及 文件 显示 时 的 字符 
集 。 例 如 一 个 文档 可 能 是 用 越南 语 或 古 斯 拉夫 语 写 的 ， 并 且 也 应 该 显示 成 这 种 语言 。 这 样 的 
信息 也 要 在 HTTP 头 里 进行 传输 。 

字符 集 、 语 言 、 编 码 方式 、 内 容 类 型 等 信息 都 是 用 在 内 容 协商 (参阅 mod negotiation 模块 ) 处 
理 过 程 中 的 。 它 们 决定 了 当 许 多 包含 了 不 同 的 字符 集 、 语 言 、 编 码 方 式 、 内 容 类 型 的 文档 都 
存在 时 ， 具 体 将 哪个 文档 返回 给 客户 端 。 所 有 由 Addcharset , AddEncoding , AddLanguage , 
AddType 指令 定义 的 文件 扩展 名 关联 (还 有 在 MimeMagicFile 指令 中 列 出 的 文件 扩展 名 ) 都 参与 
了 这 个 选择 过 程 。 使 用 AddHandler , AddInputFilter , AddOutputFilter 指令 建立 的 关联 ， 可 
以 用 multiviewsmatch 指令 来 决定 参与 或 不 参与 匹配 。 


字符 集 


为 了 传递 更 深层 次 的 信息 ，Apache 在 传送 一 个 content-Language 头 以 指定 文档 语言 的 基础 
上 ， 还 在 随后 的 content-type 头 中 指明 了 具体 的 字符 集 ， 以 便 更 精确 地 描述 这 一 信息 。 


Content-Language: en, fr 


Content-Type: text/plain; charset-ISO-8859-1 


语言 的 标识 是 这 个 语言 名 字 的 二 字母 缩写 。 charset 是 使 用 的 字符 集 的 精确 名 字 。 


AddCharset 指 兮 


说 明 在 给 定 的 文件 扩展 名 与 特定 的 字符 集 之 间 建 立 映射 
语法 AddCharset charset extension [extension] ... 
作用 域 server config, virtual host, directory, .htaccess 
Bam Filelnfo 
状态 基本 (B) 
模块 mod mime 


AddCharset 指令 在 特定 的 文件 扩展 名 与 特定 的 字符 集 之 间 建 立 映 射 。charset 是 以 extension 
为 扩展 名 的 文件 的 MIME 字 符 集 参数 。 这 个 映射 关系 会 强制 添加 在 所 有 现存 的 映射 关系 上 ， 并 
覆盖 所 有 现存 的 extension 扩 展 名 映射 。 


示例 


AddLanguage ja .ja 
AddCharset EUC-JP .euc 
AddCharset ISO-2022-JP .jis 


AddCharset SHIFT JIS .sjis 


有 了 以 上 定义 以 后 ， 文 档 xxxx.ja.jis 会 被 当成 是 使 用 字符 集 1s0-2022-30 的 日 文 文档 ( 文 

档 xxxx.jis.ja 也 一 样 )。 Addcharset 指 合 除 了 用 于 通知 客户 端 文档 的 字符 集 编码 方式 以 便 正 
确 地 翻译 和 显示 以 外 ， 还 用 于 内 容 协商 (根据 用 户 的 优先 选择 信息 ， 从 几 个 文档 中 选择 一 个 返 
回 给 用 户 )。 


extension 参 数 是 大 小 写 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 
参见 


* mod negotiation 


*  AddDefaultCharset 


AddEncoding 1845 


说 明 在 文件 扩展 名 与 特定 的 编码 方式 之 间 建 立 映 射 关 系 
语法 AddEncoding MIME-enc extension [extension] ... 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 基本 (B) 
模块 mod mime 


AddEncoding 指 倒 在 文件 扩展 名 和 与 特定 的 编码 方式 之 间 建 立 映 射 关 系 。 指 命定 义 以 extension 
为 扩展 名 的 文件 是 由 MIME-enc 方 式 编 码 的 。 这 个 映射 关系 会 添加 在 所 有 有 效 的 映射 关系 上 ， 
并 覆盖 所 有 相同 的 extension 扩 展 名 映射 。 


示例 


AddEncoding x-gzip .gz 


AddEncoding x-compress .Z 


有 了 上 述 定 义 后 ， 包 含 .gz 扩展 名 的 文件 被 认为 是 用 x-gzip 方式 编码 的 ， 而 带 .z 扩展 名 的 
文件 则 被 认为 是 用 x-compress 方式 编码 的 。 


老 的 客户 端 期 望 x-gzip 和 x-compress ， 然 而 ， 按 标准 来 说 ， 它 们 分 别 等 同 

于 gzip 和 compress 。Apache 在 进行 编码 方式 映射 时 ， 会 忽略 " x- "前 级 。 当 响应 需要 包含 
编码 方式 时 ，Apache 会 使 用 客户 端 请 求 的 格式 (例如 : x-foo 或 foo ) 来 应 答 。 如 果 客 户 端 没 
有 指明 特定 的 格式 ，Apache 会 使 用 AddEncoding 指令 给 定 的 编码 方式 。 为 了 简化 这 一 问题 ， 
你 应 该 为 这 两 个 特定 的 编码 方式 始终 使 用 x-gzip 和 x-compress 。 对 于 象 deflate 这 样 比较 
新 的 编码 方式 ， 指 定时 不 要 带 " x- "前 级 。 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 


AddHandler 1&4 


说 明 在 文件 扩展 名 与 特定 的 处 理 器 之 间 建 立 映射 
ask AddHandler handler-name extension [extension] ... 
VE FA server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 基本 (B) 
模块 mod mime 


HE # extensiony BANE i tRhandler-name AX gg KRIS, ix BLAN AX SR TTE RIT 
A4 XBJERÉJXGA LE, 3fR:EHUSdIÉJextensiong SARAH. (la, 4 TERA 
为 .cgi 的 文件 作为 CGI 脚 本 来 处 理 ， 你 应 该 定义 : 


AddHandler cgi-script .cgi 


一 且 将 上 述 定义 放 在 你 的 http.conf 文 件 中 ， 所 有 包含 .cgi 扩展 名 的 文件 ， 都 会 被 当成 是 CGI 
程序 。 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 
参见 


@  SetHandler 


AddinputFilter 184 


说 明 在 文件 扩展 名 与 特定 的 输入 过 滤器 之 间 建 立 映射 


语法 AddInputFilter filter[;filter...] extension [extension] ... 
作用 域 server config, virtual host, directory, .htaccess 

覆盖 项 Filelnfo 

Ts 基本 (B) 

模块 mod_mime 


兼容 性 仅 在 Apache 2.0.26 及 以 后 的 版 本 中 可 用 


AddInputFilter 指使 在 文件 扩展 名 extension 与 对 服务 器 收 到 的 客户 请 求 进行 处 理 与 转发 的 输 
入 过 滤器 之 间 建 立 映 射 。 这 是 除 包括 setinputriiter 指令 在 内 的 所 有 过 滤器 定义 指令 之 外 的 
定义 。 这 个 映射 会 与 所 有 有 效 的 定义 合并 ， 并 覆盖 所 有 相同 的 extension 扩 展 名 映射 。 


如 果 要 指定 一 个 以 上 的 过 滤器 ， 它 们 必须 用 分 号 来 分 隔 ， 并 按 它们 处 理 文档 的 顺序 来 排列 。 


filter 与 extension 参 数 都 是 大 小 无 关 的 ，extension 可 以 带 或 不 带 前 导 点 。 
参见 


* RemoveInputFilter 


*  SetInputFilter 


AddLanguage 184: 


说 明 在 文件 扩展 名 与 特定 的 语言 之 间 建 立 映射 
m AddLanguage MIME-lang extension [extension] ... 
作用 域 server config, virtual host, directory, .htaccess 
Emi Filelnfo 
状态 基本 (B) 
模块 mod_mime 


AddLanguage 指令 在 文件 扩展 名 与 特定 的 语言 之 间 建 立 映 射 。 指 令 定 义 以 extension 为 扩展 名 
的 文件 是 以 MIME-lang 语 言 写成 的 。 这 个 映射 关系 会 添加 在 所 有 有 效 的 映射 关系 上 ， 并 和 覆盖 所 
有 相同 的 extension 扩 展 名 映射 。 


示例 


AddEncoding x-compress .Z 
AddLanguage en .en 


AddLanguage fr .fr 


这 样 一 来 ， 文 档 xxxx.en.z 将 会 被 当成 是 一 个 压缩 的 英文 文档 ( xxxx.z.en 也 一 样 )。 虽 然 内 容 
的 语言 会 返回 给 客户 端 ， 但 浏览 器 一 般 未 必 会 使 用 这 一 信息 。 AddLanguage 指令 更 多 的 用 于 内 
容 协 商 ， 以 决定 哪个 文档 应 当 被 返回 给 用 户 。 


如 果 同 一 个 扩展 名 被 赋予 多 个 语言 ， 那 么 使 用 最 后 出 现 的 那个 。 因 此 在 下 列 情况 中 : 


AddLanguage en .en 
AddLanguage en-gb .en 


AddLanguage en-us .en 


带 .en 扩展 名 的 文档 会 被 当成 是 en-us 。 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 
参见 


* mod negotiation 


AddOutputFilter 1845 


说 明 在 文件 扩展 名 与 特定 的 输出 过 滤器 之 间 建 立 映射 关 系 
语法 AddoutputFilter filter[;filter...] extension [extension] ... 
VF FA server config, virtual host, directory, .htaccess 
Emi Filelnfo 
状态 基本 (B) 
模块 mod_mime 


兼容 性 仅 在 Apache 2.0.26 及 以 后 的 版 本 中 可 用 


AddoutputFilter 指令 在 文件 扩展 名 extension 与 对 服务 将 返回 给 客户 的 信息 进行 处理 的 输出 过 
滤器 之 间 建 立 映 射 。 这 是 除 包括 setoutputFilter 和 AddoutputFilterByType 指令 在 内 的 所 有 
过 滤器 定义 指 合 之 外 定义 。 这 个 映射 会 与 所 有 有 效 的 定义 合并 ， 并 覆盖 所 有 相同 的 extension 
扩展 名 映射 。 


例如 ， 下 述 配 置 会 在 处 理 所 有 .shtml 文件 时 ， 进 行 服务 器 端 包 含 ， 并 同时 使 
用 mod deflate 模块 压缩 后 输出 。 


AddOutputFilter INCLUDES;DEFLATE shtml 


如 果 要 指定 一 个 以 上 的 过 滤器 ， 它 们 必须 用 分 号 来 分 隔 ， 并 按 它们 处 理 文档 的 顺序 来 排列 。 


filter 和 extension 参 数 都 是 大 小 写 无 关 的 ，extension 可 以 带 或 不 带 前 导 点 。 
参见 


*  RemoveOutputFilter 


*  SetOutputFilter 


AddType 184 
在 给 定 的 文件 扩展 名 与 特定 的 内 容 类 型 之 间 建 立 映射 


说 明 
语法 AddType MIME-type extension [extension] ... 
作用 域 server config, virtual host, directory, .htaccess 
Emi Filelnfo 
状态 基本 (B) 
模块 mod_mime 


AddType 指 倒 在 给 定 的 文件 扩展 名 与 特定 的 内 容 类 型 之 间 建 立 映射 关系 。MIME-type 指 明了 包 


含 extension 扩 展 名 的 文件 的 媒体 类 型 。 这 个 映射 关系 会 添加 在 所 有 有 效 的 映射 关系 上 ， 并 覆 


瘟 所 有 相同 的 extension 扩 展 名 了 映射。 本 指使 可 用 来 增加 没有 在 媒体 类 型 文件 ( 参 
阅 Typesconfig HE) FE LARK, 


示例 


AddType image/gif .gif 


推荐 使 用 Addrype 指 倒 增 加 新 的 媒体 类 型 映射 关系 ， 而 不 是 改变 Typesconfig 文件 。 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 
参见 


* DefaultType 


*  ForceType 


DefaultLanguage 1&4: 


说 明 为 所 有 文件 设 定 特定 的 默认 语言 


EG DefaultLanguage MIME-lang 

作用 域 server config, virtual host, directory, .htaccess 
Emi Filelnfo 

状态 基本 (B) 

模块 mod mime 


DefaultLanguage 指使 告诉 Apache， 当 该 指 合作 用 域 范围 内 (例如 ， 所 有 当前 <Directory> 指 
命 封装 范围 内 ) 的 文件 没有 明确 的 语言 扩展 名 (例如 由 AddLanguage 指令 定义 的 .fr 或 .de ) 
时 ， 文 件 应 该 被 认为 是 由 MIME-lang 语 言 构成 的 。 举 例 来 说 ， 这 就 允许 在 不 必 对 每 个 文件 进行 
重 命名 的 情况 下 ， 把 整个 目录 中 的 文件 标记 为 包含 荷兰 语 内 容 。 注 意 不 同 于 用 扩展 名 来 指定 


\ 工 = Al ri Bom 
语言 ， DefaultLanguage 指 邻 只 能 指定 一 种 语言 。 


如 果 没 有 提供 有 效 的 DefaultLanguage 指令 同时 文件 也 不 包含 由 AddLanguage 定义 的 语言 扩展 
名 ， 那 么 该 文件 将 被 认为 没有 语言 属性 。 


示例 


DefaultLanguage en 


y 


见 


* mod negotiation 


ModMimeUsePathlnfo 184: 


说 明 将 path info 当成 是 文件 名 的 一 个 组 成 部 分 
语法 ModMimeUsePathInfo On&#124; Off 
默认 值 ModMimeUsePathInfo Off 
作用 域 directory 
KS 基本 (B) 
模块 mod mime 
兼容 性 仅 在 Apache 2.0.41 及 以 后 的 版 本 中 可 用 


ModMimeUsePathInfo 指令 用 来 设 定 在 使 用 由 mod mime 提供 的 指令 时 ， 是 否 将 URL 
的 path info 与 文件 名 结合 起 来 进行 处理 。 软 认 值 为 off ， 也 就 是 说 URL 的 path info 部 分 
被 忽略 。 


当 你 使 用 虚拟 文件 系统 的 时 候 ， 推 荐 使 用 本 指令 。 


示例 
ModMimeUsePathInfo On 


we 


对 /bar/foo.shtml 这 样 的 请 求 来 说 ，" /bar "是 一 个 位 置信 息 ， 如 果 ModMimeUsePathinfo 指令 
为 On , mod_mime 会 将 请 求解 析 成 /bar/foo.shtml ， 于 是 

象 " AddoutputFilter INCLUDES .shtml "这样 的 指令 就 会 使 用 INCcLupES 过 滤器 来 处 理 这 个 请 
求 。 如 果 没 有 设 定 ModMimeusePathinfo 指令 ， 则 不 会 使 用 iNcLupES 过 滤器 。 


* AcceptPathInfo 


MultiviewsMatch 1&4 


ib 在 使 用 MultiViews 查 询 所 匹配 的 文件 时 要 包含 的 文件 类 型 


语 


法 
4. 


MultiviewsMatch Any&#124;NegotiatedOnly&#124; Filters&#124;Handlers [Handlers&#124; | 


i MultiviewsMatch NegotiatedOnly 


server config, virtual host, directory, .htaccess 


H at 


Filelnfo 


= BH nd 


基本 (B) 


e SE 


SE xi 


mod mime 


ak 
Z3 4 4£ Apache 2.0.26 及 以 后 的 版 本 中 可 用 
性 


MultiviewsMatch 指令 在 实现 mod negotiation 模块 的 Multiviews 功 能 时 ， 提 供 了 三 种 不 同 的 处 
理 方法 。Multiviews 人 允许 对 一 个 文件 的 请 求 ， 可 以 用 任何 在 基础 请 求 后面 跟 上 协商 扩展 名 的 情 
况 来 匹配 ， 例如 : index.html 可 以 用 index.html.en , index.html.fr , index.html.gz 来 匹 


Bc. 


NegotiatedOnly 选项 规定 每 个 跟 在 基础 名 字 后 面 的 扩展 名 必须 关联 到 一 个 在 内 容 协 商 时 已 知 
的 mod mime 扩展 名 ， 例 如 : 字符 集 、 内 容 类 型 、 语 言 、 编 码 方式 。 这 是 一 种 最 严格 也 是 副 作 
用 最 少 的 实现 方法 ， 它 是 默认 的 处 理 方式 。 


为 了 包含 与 处 理 器 和 /或 过 滤器 关联 的 扩展 名 ， 可 以 设 定 MultiviewsMatch 指 兮 

为 Handlers 或 Filters ， 也 可 以 两 个 都 选 。 如 果 其 它 所 有 因素 都 相等 ， 则 会 选择 最 小 的 那个 
文件 来 提供 服务 。 例 如 ， 在 一 个 500 字 节 的 index.html.cgi 文件 和 一 个 1000 字 节 

的 index.html.pl 文件 中 做 选择 时 ， .cgi 文件 会 胜出 。 如 果 .asis 文件 与 asis-handler 义理 
器 关联 ， 对 asis 文件 的 请 求 就 会 使 用 处 理 器 选项 指明 的 处 理 器 。 


即使 mod mime 不 认识 的 扩展 名 ， 你 最 终 也 可 以 通过 使 用 Any 选项 来 使 它 匹配 用 户 的 请 求 。 
Apaceh1.3 就 是 按 这 个 方式 处 理 的 ， 这 会 导致 无 法 预测 的 结果 ， 上 比如 匹配 了 网 站 管理 员 从 来 不 
希望 使 用 的 .old 或 .bak 文 件 。 


例如 ， 下 面 的 配置 允许 在 Multviews 查 询 中 使 用 处 理 器 和 过 滤器 ， 但 会 拒绝 未 知 的 文件 : 


MultiviewsMatch Handlers Filters 


y 


p) 


e Options 


* mod negotiation 


RemoveCharset 指令 


说 明 删除 任何 给 定 的 扩展 名 与 内 容 字符 集 之 间 的 关联 
语法 RemoveCharset extension [extension] ... 
作用 域 virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 基本 (B) 
模块 mod mime 
兼容 性 仅 在 Apache 2.0.24 及 以 后 的 版 本 中 可 用 


Removecharset 指令 删除 任何 给 定 的 扩展 名 与 内 容 字 符 集 之 间 的 关联 。 子 目录 中 
的 .htaccess 文件 可 以 通过 这 条 指令 取消 从 父 目 录 或 服务 器 配置 文件 中 继承 过 来 的 扩展 名 和 与 
内 容 字 符 集 之 间 的 关联 关系 。 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 


示例 


RemoveCharset .html .shtml 


RemoveEncoding 指令 


说 明 删除 任何 给 定 的 扩展 名 与 内 容 编码 方式 之 间 的 关联 
语法 RemoveEncoding extension [extension] ... 
作用 域 virtual host, directory, .htaccess 
履 盖 项 Filelnfo 
状态 基本 (B) 
模块 mod_mime 


RemoveEncoding 指令 删除 任何 给 定 的 扩展 名 与 内 容 编码 方式 之 间 的 关联 。 子 目录 中 
的 .htaccess 文件 可 以 通过 这 条 指令 取消 从 父 目 录 或 服务 器 配置 文件 中 继承 过 来 的 扩展 名 与 
内 容 编码 方式 之 间 的 关联 关系 。 举 例 来 说 ， 它 可 以 这 样 来 使 用 : 


/foo/.htaccess: 


AddEncoding x-gzip .gz 
AddType text/plain .asc 
«Files *.gz.asc> 


RemoveEncoding .gz 
«/Files» 


这 样 ， foo.gz 被 认为 是 用 gzip 方 式 编码 的 ， 但 foo.gz.asc 将 被 认为 是 一 个 未 编码 的 纯 文本 文 
件 。 


NE 
LER 


RemoveEncoding 指令 在 所 有 AddEncoding 指 合 之 后 人 处理， 因此 如 果 在 同一 个 目录 配置 里 两 者 
都 出 现 的话 ， RemoveEncoding 指 合 将 会 取消 后 面 的 AddEncoding 指使 的 作用 。 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 


RemoveHandler 1E 4 


说 明 删除 任何 指定 扩展 名 与 处 理 器 之 间 的 关联 


语法 RemoveHandler extension [extension] ... 
作用 域 virtual host, directory, .htaccess 

fem hl Filelnfo 

状态 基本 (B) 

模块 mod mime 


RemoveHandler 指令 删除 任何 指定 的 扩展 名 与 义理 器 之 间 的 关联 。 子 目录 中 的 .htaccess 文件 
可 以 通过 这 条 指令 取消 从 父 目 录 或 服务 器 配置 文件 中 继承 过 来 的 扩展 名 与 处 理 器 之 间 的 关联 
关系 。 举 例 来 说 ， 它 可 以 这 样 来 使 用 : 


/foo/.htaccess 


AddHandler server-parsed .html 


lfoo/bar/.htaccess 


RemoveHandler .html 
这 样 /foo/bar 目录 中 的 .html xcti RASA AER, MARE Aparsingxies (Sig mod include 模块 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 


RemovelnputFilter 184 


说 明 删除 指定 扩展 名 与 输入 过 滤器 之 间 的 关联 
语法 RemoveInputFilter extension [extension] ... 
作用 域 virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 基本 (B) 
模块 mod mime 
兼容 性 仅 在 Apache 2.0.26 及 以 后 的 版 本 中 可 用 


RemoveInputFilter 指令 删除 指定 的 扩展 名 与 输入 过 滤器 之 间 的 关联 。 子 目录 中 
的 .htaccess 文件 可 以 通过 这 条 指令 取消 从 父 目 录 或 服务 器 配置 文件 中 继承 过 来 的 扩展 名 和 与 
输入 过 滤器 之 间 的 关联 关系 。 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 


y 


A 


*  AddInputFilter 


*  SetInputFilter 


RemoveLanguage 指令 


说 明 删除 指定 的 扩展 名 与 内 容 语 言 之 间 的 关联 
语法 RemoveLanguage extension [extension] ... 
作用 域 virtual host, directory, .htaccess 
fem i Filelnfo 
状态 基本 (B) 
模块 mod mime 
兼容 性 仅 在 Apache 2.0.24 及 以 后 的 版 本 中 可 用 


RemoveLanguage 指令 删除 指定 的 扩展 名 和 与 内 容 语 言 之 间 的 关联 。 子 目录 中 的 .htaccess 文件 
可 以 通过 这 条 指令 取消 从 父 目 录 或 服务 器 配置 文件 中 继承 过 来 的 扩展 名 与 内 容 语 言 之 间 的 关 
HREM. 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 


RemoveOutputFilter 1847 


Dt BH 删除 指定 扩展 名 与 输出 过 滤器 之 间 的 关联 
语法 RemoveOutputFilter extension [extension] ... 
作用 域 virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 基本 (B) 
模块 mod mime 
兼容 性 仅 在 2.0.26 及 以 后 的 版 本 中 可 用 


RemoveOutputFilter 指令 删除 指定 的 扩展 名 与 输出 过 滤器 之 间 的 关联 。 FARR 
的 .htaccess 文件 可 以 通过 这 条 指令 取消 从 父 目 录 或 服务 器 配置 文件 中 继承 过 来 的 扩展 名 和 与 
输出 过 滤器 之 间 的 天 联 关系 。 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 


示例 


RemoveOutputFilter shtml 


y 


见 


e  AddOutputFilter 


RemoveType 184: 


说 明 删除 指定 扩展 名 与 内 容 类 型 之 间 的 关联 
语法 RemoveType extension [extension] ... 
作用 域 virtual host, directory, .htaccess 
Bam Filelnfo 
状态 基本 (B) 
模块 mod_mime 


RemoveType 指令 删除 指定 的 扩展 名 与 内 容 类 型 之 间 的 天 联 。 子 目 录 中 的 .htaccess 文件 可 以 
通过 这 条 指令 取消 从 父 目 录 或 服务 器 配置 文件 中 继承 过 来 的 扩展 名 与 内 容 类 型 之 间 的 关联 关 
系 。 举 例 来 说 ， 它 可 以 这 样 使 用 : 


/foo/.htaccess 


RemoveType .cgi 


这 将 删除 /foo/ 目录 及 其 所 有 子 目录 下 .Cgi 文件 的 特定 处 理 方式 ， 从 而 使 这 些 文件 按 DefaultType 指 合 设 定 的 默认 


NE 
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RemoveType 指令 会 在 所 有 的 Addrype 指使 之 后 处 理 ， 因 此 ， 当 同一 个 目录 配置 中 ， 同 时 存在 
这 两 种 指 合 的 时 候 ， 前 面 的 Removerype 指令 将 会 取消 后 面 的 Addrype 指令 的 作用 。 


extension 参 数 是 大 小 无 关 的 ， 并 且 可 以 带 或 不 带 前 导 点 。 


TypesConfig #87 


说 明 指定 mime.types 文件 的 位 置 


语法 TypesConfig file-path 
默认 值 TypesConfig conf/mime.types 
作用 域 server config 

状态 基本 (B) 

模块 mod mime 


Typesconfig 指令 设 定 MIME 类 型 配置 文件 的 位 置 。File-path 是 相对 于 serverRoot BURA. ds 
体 类 型 配置 文件 列 出 了 文件 扩展 名 与 内 容 类 型 的 默认 映射 关系 。 大 多 数 管理 员 使 用 既定 

的 mime.types 文件 ， 它 关联 了 文件 扩展 名 和 由 IANA 注册 的 内 容 类 型 。 最 新 的 列表 可 以 
f£http://www.iana.org/assignments/media-types/index.html Sl, 3x44 eT PLACA f 

化 httpd.conf 文件 里 的 媒体 类 型 定义 ， 在 需要 时 ， 也 可 以 用 addtype 指令 来 更 改 这 些 定义 。 


你 不 应 该 编辑 mime.types 文件 ， 因 为 在 服务 器 升级 的 时 候 ， 它 会 被 覆盖 。 
文件 包含 类 似 于 AddType 旨 今 参数 格式 的 行 : 


«var class="calibre40">MIME-type</var> [«var class="calibre40">extension</var>] ... 


扩展 名 的 大 小 写 是 无 关 紧 要 的 。 空 行 和 以 井 号 ( # ) 打 头 的 行 会 被 忽略 。 


请 不 要 要 求 Apache HTTP 服 务 器 项 目 组 在 已 发 布 的 mime.types 文件 中 增加 新 的 项 ， 除 非 (1) 它 
们 已 经 在 IANS 注 册 过 了 ， 或 者 (2) 它 们 被 广泛 地 使 用 ， 并 且 在 多 平台 上 没有 文件 扩展 名 冲突 发 
^E, category/x-subtype 请 求 会 被 自动 拒绝 ， 因为 任何 新 的 二 字母 的 扩展 名 很 可 能 会 与 已 经 
非常 拥挤 的 语言 及 字符 集 名 字 空 间 冲 突 。 


* mod mime magic 


Apache 模 块 mod mime magic 


说 明 通过 读 取 部 分 文件 内 容 自动 猜测 文件 的 MIME 类 型 
状态 扩展 (E) 
模块 名 mime magic module 


源 文件 mod mime magic.c 


概述 
本 模块 采取 Unix 系 统 下 file(1) 命令 相同 的 方法 : 检查 文件 开始 的 几 个 字 节 ， 来 判定 文件 的 
MIME 类 型 。 它 被 作为 当 mod mime 无 法 解析 时 ， 用 来 处 理 的 "第 二 道 防线 "。 


本 模块 源 自 于 Unix 系 统 命令 file(1) 的 一 个 自由 版 本 ， 它 通过 对 来 自 文件 的 内 容 使 用 "Magic 
数字 "和 其 它 一 些 线 索 来 判定 这 个 文件 的 具体 内 容 是 什么 。 本 模块 只 有 当 "Magic 文 
件 "在 MimeMagicFile 指 命中 指定 时 才 有 效 。 


"Magic 文 件 " 的 格式 


Magic 文 件 的 内 容 是 由 4-5 列 的 纯 文本 组 成 的 。 文 件 中 允许 包含 空 行 ， 但 会 被 忽略 。 注 释 行人 
用 并 号 ( # ) 来 引导 。 剩 余 的 行 按 下 面 列 被 分 解 

Pi 描述 

1 开始 检查 的 起 始 字 节 ，">" 表 示 基于 前 面 的 非 ">" 行 。 


匹配 的 数据 类 型 byte 单个 字符 short 机 器 字 节 顺序 的 16 位 整数 long 机 器 字 节 
顺序 的 32 位 整数 string 任意 长 度 的 字符 串 date 长 整 型 的 日 期 (从 UNIX 纪 

2 元 /1970 以 来 的 秒 数 ) beshort big-endian 16 位 整数 belong big-endian 32 位 整数 
bedate big-endian 32 位 整 型 日 期 leshort little-endian 16 位 整数 lelong little- 
endian 32 位 整数 ledate little-endian 32 位 整 型 日 期 


3 ”匹配 的 数据 内 容 
4 ”如 果 匹 配 文件 的 MIME 类 型 
5 ”如 果 匹 配 文件 的 MIME 编 码 方式 (可 选 ) 


例如 ， 下 面 的 Magic 文 件 行 可 以 认 出 一 些 音频 格式 : 


# Sun/NeXT audio data 
0 string .snd 


212 belong 1 audio/basic 
212 belong 2 audio/basic 
212 belong 3 audio/basic 
212 belong 4 audio/basic 
212 belong 5 audio/basic 
212 belong 6 audio/basic 
212 belong 7 audio/basic 
>12 belong 23 audio/x-adpcm 


还 有 下 面 的 示例 可 以 区 分 带 *.doc 扩展 名 的 文件 到 底 是 Microsoft Word 文 档 还 是 Frame Maker 
文档 (两 种 有 相同 后 级 名 但 不 兼容 文件 格式 )。 


# Frame 

© string \<MakerFile application/x-frame 

© string \<MIFFile application/x-frame 

© string \<MakerDictionary application/x-frame 

© string \<MakerScreenFon application/x-frame 

© string \<MML application/x-frame 

© string \<Book application/x-frame 

© string \<Maker application/x-frame 

# MS-Word 

© string \376\067\0\043 application/msword 
© string \320\317\021\340\241\261 application/msword 
© string \333\245-\0\0\0 application/msword 


一 个 可 选 的 MIME 编 码 方 式 可 以 包含 在 第 五 列 上 。 例 如 下 面 的 行 可 以 认 出 gzip 压 缩 文件 并 设 定 
他 们 的 编码 方式 。 


# gzip (GNU zip, not to be confused with 
# [Info-ZIP/PKWARE] zip archiver) 


© string \037\213 application/octet-stream x-gzip 


性 能 问题 


并 不 是 每 个 系统 都 适用 本 模块 的 。 如 果 你 的 系统 吞吐 量 已 经 接近 极限 ， 或 者 你 在 进行 web 服 务 
器 的 基准 测试 ， 你 可 能 不 希望 启动 这 个 模块 ， 因 为 它 的 处 理会 显著 影响 服务 器 的 性 能 。 


然而 ， 已 经 有 人 在 努力 改进 最 初 的 file(1) 代码 ， 使 它 能 更 适合 在 一 个 非常 繁忙 的 web 服 务 器 
上 工作 。 这 主要 是 用 在 那 种 有 数 千 用 户 自己 发 布 文 档 的 web 服 务 器 上 。 这 在 互联 网 上 可 能 是 非 
常常 见 的 情况 。 很 多 情况 下 ， 如 果 服 务 器 能 就 文件 的 内 容 作 出 比 用 文件 名 来 区 别 的 方式 更 加 
智能 化 的 判断 是 非常 有 用 的 。 甚 至 在 当 用 户 没有 合理 地 命名 他 们 的 文件 的 情况 下 ， 它 也 可 以 
用 来 减少 那些 诸如 : "为 什么 我 的 页 面 不 工作 啊 " 之 类 的 报 怨 。 你 必须 自己 决定 这 额外 的 开销 是 
否 适 用 于 你 的 环境 。 


下 面 关 于 mod mime magic 的 记录 包含 在 这 里 ， 是 按照 最 初 捐助 者 的 版 权限 制 和 为 了 得 到 他 们 
的 承认 。 


mod mime magic: 通过 文件 的 Magic Number 查 找 文件 的 MIME 类 型 Copyright (c) 1996-1997 
Cisco Systems, Inc. 


本 软件 由 Cisco 系 统 有 限 公 司 于 1997 年 7 月 提交 给 Apache 组 织 。 本 软件 源 代 码 的 进一步 修订 及 
新 版 本 的 派生 必须 承认 Cisco 系 统 有 限 公 司 是 本 模块 的 原始 捐助 者 。 所 有 其 它 许 可 与 使 用 条 件 
都 属于 Apache 组 织 。 


本 模块 的 部 分 源 代码 派生 于 最 初 发 布 在 comp.sources.unix 上 的 file 命 命 的 自由 版 本 。 根 据 要 
求 ， 下 面包 含 了 那个 程序 的 版 权 信 息 。 


e Copyright (c) lan F. Darwin, 1987. Written by lan F. Darwin. 
本 软件 不 隶属 于 美国 电话 电报 公司 (AT&T) 或 者 加 利 福 尼 亚 大 学 董事 会 的 任何 许可 。 


在 遵循 以 下 限制 的 基础 上 ， 任 何人 被 授权 免费 地 在 任何 计算 机 系统 上 为 任何 目的 使 有 用、 修改 
与 重新 分 发 这 个 软件 : 


1. 不 管 后 果 有 多 严重 ， 甚 至 是 直接 由 于 程序 的 缺陷 造成 的 ， 程 序 的 作者 对 于 由 于 使 用 这 个 
软件 而 造成 的 任何 直接 或 间接 的 后 果 不 承 担任 何 责任 。 

2. 在 清晰 或 元 长 的 声明 中 ， 软 件 的 来 源 必须 无 误 地 叙述 。 由 于 少量 用 户 可 能 会 阅读 源 代 
码 ， 源 代码 中 也 必须 包含 这 一 声明 。 

3. 改动 版 本 必须 明白 标明 ， 必 须 与 原 软件 严格 区 分 开 来 。 由 于 少量 用 户 可 能 会 阅读 源 代 
码 ， 源 代码 中 也 必须 包含 这 一 声明 。 

4. 本 声明 不 能 被 删除 或 更 改 。 


为 了 符合 MrDarwin 的 条 款 : 这 是 从 自由 的 "file" 命 合 而 来 并 经 过 了 明显 的 修改 的 版 本 。 


e 当 从 Apache 的 一 个 版 本 转移 到 下 一 个 时 ， 为 了 编辑 方便 ， 所 有 代码 在 一 个 文件 中 。 

。 内 存 分 配 通过 Apache 应 用 程序 接口 的 缓冲 池 结 构 完成 。 

。 在 需要 调用 其 它 Apache 应 用 程序 接口 例 程 的 地 方 ， 所 有 的 函数 被 提供 必需 的 Apache 应 用 
程序 接口 及 服务 结构 。( 例 如 : 通常 在 它 自身 或 被 调用 的 程序 里 包含 了 日 志 记 录 ， 文 件 操 
作 或 内 存 分 配 ) 

Magic 结 构 从 数组 被 转换 成 了 单 终点 链表 ， 因 为 它 每 次 只 增长 一 条 记录 ， 它 只 按 顺 序 方式 
处 理 ， 同 时 Apache APl 没 有 realloc() 的 替代 处 理 方 法 。 

函数 被 改变 成 从 参数 获取 服务 器 配置 ， 而 不 是 全 局 变量 。( 现 在 它 应 该 是 可 重 人 的， 但 没 
有 在 线程 化 的 环境 中 测试 过 ) 

原来 用 来 打印 结果 到 stdout 的 地 方 ， 被 改 成 将 结果 保存 到 一 个 列表 ， 这 个 列表 被 用 来 在 

Apache 请 求 记 录 中 设置 MIME 类 型 。 

因为 在 这 里 再 也 不 会 用 到 命令 行 标志 ， 它 们 被 删除 了 。 


MimeMagicFile #83 


说 明 使 用 特定 的 Magic 文 件 激活 根据 文件 内 容 确定 文件 MIME 类 型 的 功能 
语法 MimeMagicFile file-path 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod mime magic 
MimeMagicFile 指令 用 来 激活 本 模块 ， 默 认 的 Magic 文 件 保存 在 conf/magic 中 。 相 对 路 径 是 相 


对 于 serverRoot 的 。 虚 拟 主机 会 使 用 与 主 服务 器 相同 的 配置 文件 ， 除 非 使 用 了 更 特别 的 设 
定 。 在 后 者 情况 下 ， 这 些 特别 的 设 定 会 覆盖 主 服务 的 设 定 。 


示例 


MimeMagicFile conf/magic 


Apache?& +} mod negotiation 


说 明 提供 内 容 协 商 支 持 
状态 基本 (B) 
模块 名 negotiation module 
源 文件 mod_negotiation.c 


概述 
内 容 协 商 ， 更 准确 的 说 应 该 是 "内 容 选 择 "， 是 从 几 个 有 效 文档 中 选择 一 个 最 匹配 客户 端 要 求 的 
文档 的 过 程 。 内 容 协 商 有 两 种 实现 方法 。 


e 使 用 类 型 表 ( 一 个 包含 type-map 义理 器 信息 的 文件 ) 明 确 地 列 出 各 变种 的 文件 名 。 
e 使 用 "MultiViews" 搜 索 ( 由 options 指令 中 的 Multiviews 选项 激活 )， 即 服务 器 执行 一 个 隐 
含 的 文件 名 模式 匹配 ， 并 在 结果 中 选择 。 


类 型 表 的 格式 有 点 类 似 于 RFC822 邮 件 头 的 格式 。 它 包含 以 空 行 分 格 的 文档 描述 ， 以 井 号 (#) 


打头 的 行 被 当 作 是 注释 。 一 个 文档 描述 包含 几 个 头 记 录 ， 以 空格 开始 的 行将 被 认为 是 前 一 行 
的 延续 ， 这 样 文档 描述 记录 就 可 以 包含 多 行 。 在 处 理 处 理 多 行 记 录 时 ， 行 与 行 被 连接 起 来 ， 
打头 的 空格 会 被 删除 。 一 个 头 记 录 包 含 一 个 关键 字 名 ， 并 且 总 是 在 结尾 的 地 方 用 一 个 冒号 将 
它 自己 和 紧 跟 其 后 的 值 分 隔 开 。 在 头 名 字 与 它 的 值 之 间 以 及 取 值 的 各 个 标记 之 间 可 以 插入 空 
格 。 头 可 以 是 : 

Content-Encoding: 

文件 的 编码 方式 。Apache 只 支持 用 AddEncoding 指令 定 义 的 编码 方式 。 它 一 般 包 含 compress 
压缩 文件 的 x-compress 编码 和 gzip 文 件 的 x-gzip 编码 。 在 编码 对 照 过 程 中 ，" x- "前 级 会 被 
忽略 。 


Content-Language: 


按 互联 网 标准 语言 标签 (RFC 1766) 定 义 的 变 体 语言 。 举 例 来 说 en ROR MREAAES 
一 种 以 上 的 语言 ， 用 逗号 来 分 隔 。 


Content-Length: 


以 字 节 为 单位 的 文件 长 度 。 如 果 这 个 头 不 存在 ， 则 使 用 文件 的 实际 长 度 。 


Content-Type: 


带 可 选 参 数 的 文档 MIME 类 型。 参数 与 MIME 类 型 之 间 以 及 参数 之 间 都 用 分 号 分 隔 ， 参 数 使 用 
类 似 " name=value "这 样 的 语法 。 参 数 包括 : 


level 

一 个 指明 媒体 类 型 版 本 的 整数 。 对 text/html 来 讲 ， 默 认 值 是 "2"， 其 它 的 默认 值 为 "0"。 

qs 

一 个 取 值 在 0.0 到 1.0 之 间 的 浮 点 数 ， 它 表示 在 不 考虑 客户 端 性 能 的 情况 下 ， 一 个 变 体 相对 于 其 
它 变 体 的 "品质 "。 比 如 在 表现 一 张 照片 时 ，jpeg 文 件 通常 比 字 符 构 图 有 较 高 的 还 原 品 质 ; 而 如 
果 要 表现 的 本 来 就 是 一 个 字符 构图 ， 那 么 当然 Ascii 文 件 会 比 jpeg 文 件 有 较 高 的 还 原 品 质 。 因 
此 ， 所 有 的 qs 取 值 都 是 特定 于 某 个 资源 的 。 


示例 


Content-Type: image/jpeg; qs-0.8 


URI: 

文件 的 URI 包 含 了 媒体 类 型 、 编 码 方式 等 变量 的 信息 ， 这 些 被 解释 为 与 映射 文件 相关 的 URL 
， 它 们 必须 在 同一 个 服务 器 上 。 如 果 它 们 被 直接 调用 的 话 ， 它 们 所 涉及 的 文件 必须 对 用 户 是 
可 以 访问 的 。 

Body : 


这 是 2.0 新 增 的 功能 ， 使 用 Body 头 ， 资 源 的 实际 内 容 可 以 直接 包含 在 类 型 表 里 。 这 个 头 必须 包 
含 一 个 指明 分 隔 符 的 字符 串 。 这 样 在 类 型 表 文 件 中 ， 接 下 来 直到 分 隔 字 符 串 之 前 的 所 有 内 
容 ， 会 被 当 作 是 资源 实体 。 


示例 : 


Body:----Xyz---- 

&lt;html&gt; 

&lt;body&gt; 

&lt;p&gt;Content of the page.&lt;/p&gt; 
&lt;/body&gt; 

&lt;/html&gt; 


--XyZ---- 


MultiViews 


MultiViews # i] z& El options 指令 的 wultiviews 选项 激活 的 。 如 果 服 务 器 接收 了 一 个 

对 /some/dir/foo 的 请 求 ， 而 /some/dir/foo 并 不 存在 ， 则 服务 器 会 查找 这 个 目录 下 所 有 的 
foo.* 文件 ， 并 有 效 地 伪造 一 个 说 明 这 些 foo.* 文件 的 类 型 表 ， 假 定 客户 可 能 请 求 的 一 
个 ， 把 他 们 指定 为 这 个 类 型 的 媒体 类 型 及 内 容 编码 。 最 终 选 择 其 中 最 符合 客户 请 求 的 文档 ， 
返回 给 客户 。 


MultiViewsMatch 指令 指示 Apache 在 选择 文件 时 是 否 考虑 不 包含 内 容 协 商 元 信息 的 文件 。 


CacheNegotiatedDocs 指 今 


说 明 允许 经 过 内 容 协 商 的 文档 被 代理 服务 器 缓存 
语法 CacheNegotiatedDocs On&#124; Off 
默认 值 CacheNegotiatedDocs Off 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod negotiation 
兼容 性 从 2.0 版 本 起 ， 语 法 有 了 变化 


如 果 设 置 为 "On"， 则 允许 内 容 协商 文档 被 代理 服务 器 缓存 。 这 可 能 意味 着 在 代理 服务 器 后 面 
的 客户 端 得 到 的 文档 并 不 是 最 符合 他 们 情况 的 版 本 ， 但 它 能 够 使 缓存 更 有 效 。 


本 指使 只 对 HTTP/1.0 浏 览 器 的 请 求 有 效 。HTTP/1.1 在 对 内 容 协 商 文 档 进行 缓冲 方面 提供 了 更 
好 的 控制 ， 本 指令 对 于 HTTP/1.1 的 应 答 没有 效果 。 


在 2.0 版 本 以 前 ， CacheNegotiatedDocs 指 兮 不 带 任何 参数 ; 它 会 自己 在 目录 存在 的 情况 下 开 
启 。 


ForceLanguagePriority 1E 4 


说 明 指定 无 法 匹配 单个 文档 的 情况 下 所 采取 的 动作 


语法 ForceLanguagePriority None&#124;Prefer&#124; Fallback [Prefer&#124;Fallback] 
默认 ForceLanguagePriority Prefer 

值 

作用 ! 

M server config, virtual host, directory, .htaccess 
=o 

n Filelnfo 

项 

状态 基本 (B) 

模块 mod negotiation 

兼容 

性 仅 在 Apache 2.0.30 及 以 后 的 版 本 中 可 用 


ForceLanguagePriority 指令 使 用 LanguagePriority 指 邻 的 设置 ， 在 服务 器 无 法 返回 单个 匹配 
文档 的 情况 下 ， 指 定 完成 协商 过 程 的 方法 。 


ForceLanguagePriority Prefer 在 有 几 个 等 价 选择 的 情况 下 ， 使 用 LanguagePriority 的 设 定 以 
提供 一 个 有 效 的 结果 ， 而 不 是 返回 HTTP 结 果 "300"( 多 重 选择 )。 如 果 给 出 了 下 述 指 倒 ， 并 且 用 
户 的 Accept-Language 头 为 en 和 de 赋予 了 相同 的 品质 系数 "”.s606 "(相同 的 品质 系数 是 允许 
BY), 那么 第 一 个 匹配 的 变 体 : en 将 被 返回 。 


LanguagePriority en fr de 


ForceLanguagePriority Prefer 


ForceLanguagePriority Fallback 使 用 LanguagePriority 指令 在 无 法 找到 合适 结果 的 情况 下 ， 
指定 一 个 有 效 的 结果 ， 而 不 是 返回 HTTP 结 果 "406"( 不 可 接受 )。 如 果 给 出 了 下 述 指令 ， 并 且 用 
户 的 Accept-Language 头 只 人 允许 es 的 返回 结果 ， 在 这 个 变 体 没有 找到 的 情况 下 ， 下 

述 LanguagePriority 指令 列表 的 第 一 个 变 体 将 被 返回 。 


LanguagePriority en fr de 


ForceLanguagePriority Fallback 


Prefer 和 Fallback 两 个 选项 可 以 同时 指定 ， 这 样 在 有 一 个 以 上 有 效 变 体 的 情况 下 ， WR 
[n] LanguagePriority 指令 列表 中 第 一 个 匹配 的 变 体 文档 ， 而 在 没有 变 体 能 够 匹配 客户 可 接受 
的 语言 的 情况 下 ， 返 回 第 一 个 可 用 的 变 体 文档 。 


* AddLanguage 


LanguagePriority 184 


说 明 在 客户 端 没有 指示 语言 偏好 的 情况 下 ， 话 言 变 体 的 优先 级 列表 
语法 LanguagePriority MIME-lang [MIME-lang] ... 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 基本 (B) 
模块 mod negotiation 


在 处 理 MultiViews 请 求 时 ， LanguagePriority 指 合 在 客户 没有 指示 语言 偏爱 的 情况 下 ， 设 定语 
言 变 体 的 优先 级 列表 。 这 个 MIME-lang 列 表 是 按 优先 级 降序 排列 的 。 


示例 : 


LanguagePriority en fr de 


表示 对 于 foo.html 请 求 ， 如 果 foo.html.fr 和 foo.html.de 同时 存在 ， 并 且 浏 览 器 没有 表明 
对 语言 的 偏爱 ， 那 么 foo.html.fr 将 被 返回 。 


注意 ， 本 指令 只 在 根据 其 它 信息 无 法 决定 最 好 的 语言 或 者 ForceLanguagePriority 指 今 不 
是 None 时 才 有 效 。 对 正确 实现 的 HTTP/1.1 请 求 ， 本 指使 没有 任何 作用 。 


* AddLanguage 


Apache +} mod nw. ssl 


说 明 仅 限于 在 NetWare 平 台 上 实现 SSL 加 密 支 持 
状态 基本 (B) 
模块 名 nwssl module 
源 文件 mod nw ssl.c 
兼容 性 仅 用 于 NetWare 
概述 


本 模块 在 指定 的 端口 (por) 上 和 启用 SSL 加 密 。 它 充分 利用 了 NetWare 操 作 系统 内 建 的 SSL 加 密 
功能 。 


NWSSLTrustedCerts #87 


说 明 附加 的 客户 端 证 书 列表 
语法 NWSSLTrustedCerts filename [filename] ... 
作用 域 server config 
状态 基本 (B) 
模块 mod nw. ssl 


指定 客户 证 书 文件 (DER 格式 ) 列 表 ， 这 些 文件 用 于 创建 代理 SSL 连 接 。 每 个 客户 证 书 必须 各 自 
列 出 自己 的 .der 文件 。 


NWSSLUpgradeable 指 今 


说 明 允许 在 请 求 中 将 一 个 连接 升级 为 SSL 连 接 
语法 NWSSLUpgradeable [IP-address:]portnumber 
作用 域 server config 
状态 基本 (B) 
模块 mod nw. ssl 


允许 客户 端 在 请 求 中 将 特定 地 址 和 /或 端口 上 的 连接 升级 为 SSL 连 接 。 这 个 地 址 和 /或 端口 必须 
先前 已 经 使 用 Listen 指令 定义 过 。 


SecureListen 1E € 


说 明 在 指定 端口 启用 SSL 加 密 
语法 SecureListen [IP-address:]portnumber Certificate-Name [MUTUAL] 
VE FA server config 
状态 基本 (B) 
模块 mod nw. ssl 


指定 端口 和 启用 SSL 加 密 时 需要 用 到 的 基于 eDirectory 的 证 书 名 称 。 第 三 个 可 选 的 参数 启用 


mutual 认 证 。 


Apache 模 块 mod proxy 


说 明 提供 HTTP/1.1 的 代理 /网 关 功 能 支持 
状态 扩展 (E) 
模块 名 proxy module 
源 文件 mod proxy.c 


SB 
:h 


wig 
OF 


在 您 没有 对 服务 器 采取 安全 措施 之 前 ， 请 不 要 用 ProxyRequests 启用 代理 。 一 个 开放 的 代理 服 
务 器 不 仅 对 您 的 网 络 有 威胁 ， 对 整个 因特网 来 说 也 同 祥 如 此 。 


此 模块 实现 了 Apache 的 代理 /网 关 。 它 实现 了 以 下 规范 的 代理 : AJp13 (Apache JServe 
Protocol v1.3)，FTP , connect (用 于 SSL)，HTTP/6.9 , HrTP/1.0 , HTTP/1.1 。 此 模块 经 配置 
后 可 用 上 述 或 其 它 协议 连接 其 它 代理 模块 。 


Apache 的 代理 功能 ( 除 mod proxy 以 外 ) 被 划分 到 了 几 个 不 同 的 模块 中 : mod_proxy_http , 

mod proxy ftp , mod proxy ajp , mod proxy balancer , mod proxy connect o EUR, 如 果 想 使 
用 一 个 或 多 个 代理 功能 ， 就 必须 将 mod proxy 和 对 应 的 模块 同时 加 载 到 服务 器 中 (静态 连接 或 
用 LoadModule 动态 加 载 )。 


另外 ， 其 它 模块 还 提供 了 扩展 特性 。 mod_cache 及 其 相关 模块 提供 了 缓冲 特性 。 mod ssl $e 
供 的 ssiProxy* 系列 指令 可 以 使 用 SSL/TLS 连 接 远程 服务 器 。 这 些 提 供 扩 展 特性 的 模块 必须 
在 被 正确 加 载 和 配置 以 后 才能 提供 这 些 扩 展 功能 。 


IE [S] RD 52 [5 388 


Apache 可 以 被 配置 为 <dfn classz"calibre27"»1E [Al (forward)</dfn>#ll<dfn class="calibre27"> 
反 向 (reverse)</dfn> 代 理 。 


<dfn class="calibre27"> 正 向 代理 </dfn> 是 一 个 位 于 客户 端 和 原始 服务 器 (origin server) iZ ia] B 
服务 器 ， 为 了 从 原始 服务 器 取得 内 容 ， 客 户 端 向 代理 发 送 一 个 请 求 并 指定 目标 (原始 服务 器 )， 
然后 代理 向 原始 服务 器 转交 请 求 并 将 获得 的 内 容 返 回 给 客户 端 。 客 户 端 必须 要 进行 一 些 特别 
的 设置 才能 使 用 正 向 代理 。 


正 向 代理 的 典型 用 途 是 为 在 防火 墙 内 的 局 域 网 客户 端 提 供 访问 Internet 的 途径 。 正 向 代理 还 可 
以 使 用 缓冲 特性 (由 mod cache 提供 ) 减 少 网 络 使 用 率 。 


使 用 ProxyRequests 指令 即 可 激活 正 向 代理 。 因 为 正 向 代理 允许 客户 端 通过 它 访问 任意 网 站 并 
且 隐 藏 客户 端 自 身 ， 因 此 你 必须 采取 安全 措施 以 确保 久 为 经 过 授权 的 客户 端 提供 服务 。 


<dfn class="calibre27"> 反 向 代理 </dfn> 正 好 相反 ， 对 于 客户 端 而 言 它 就 像 是 原始 服务 器 ， 并 
且 客 户 端 不 需要 进行 任何 特别 的 设置 。 客 户 端 向 反 向 代理 的 名 字 空 间 (name-space) 中 的 内 容 
发 送 普通 请 求 ， 接 着 反 向 代理 将 判断 向 何 处 (原始 服务 器 ) 转 交 请 求 ， 并 将 获得 的 内 容 返回 给 客 
户 端 ， 就 像 这 些 内 容 原 本 就 是 它 自己 的 一 样 。 

反 向 代理 的 典型 用 途 是 将 防火 墙 后 面 的 服务 器 提供 给 Internet 用 户 访问 。 反 向 代理 还 可 以 为 后 
端的 多 台 服 务 器 提供 负载 平衡 ， 或 为 后 端 较 慢 的 服务 器 提供 缓冲 服务 。 另 外， 还 可 以 启用 高 
级 URL 策 略 和 管理 技术 ， 从 而 使 处 于 不 同 web 服 务 器 系统 的 web 页面 同时 存在 于 同一 个 URL 空 
间 下 。 

可 以 使 用 ProxyPass 指令 激活 反 向 代理 (在 RewriteRule 指令 中 使 用 P] 标记 也 可 以 )。 配 置 反 
向 代理 并 不 需要 打开 [ProxyRequests HT. 


简单 示例 
下 面 的 例子 仅仅 是 为 了 给 你 一 个 基本 概念 而 帮助 入 门 而 已 ， 请 仔细 阅读 每 个 指使 的 文档 。 
另外 ， 如 果 想 使 用 缓冲 特性 ， 请 查看 mod cache 文档 。 


正 向 代理 


ProxyRequests On 
ProxyVia On 
«Proxy *> 
Order deny,allow 
Deny from all 


Allow from internal.example.com 
«/Proxy» 


反 向 代理 


ProxyRequests Off 
«Proxy *> 
Order deny,allow 


Allow from all 
</Proxy> 


ProxyPass /foo http://foo.example.com/bar 


ProxyPassReverse /foo http://foo.example.com/bar 


控制 对 代理 服务 器 的 访问 
您 可 以 通过 <proxy> 的 阻止 功能 来 控制 谁 能 访问 您 的 代理 。 示 例如 下 : 


<Proxy *> 
Order Deny,Allow 
Deny from all 


Allow from 192.168.0 
</Proxy> 


要 了 解 更 多 访问 控制 信息 ， 请 参见 mod authz host 文档 。 


使 用 正 向 代理 时 严格 控制 访问 权限 (使 用 ProxyRequests 指 今 ) 是 非常 重要 的 。 否 则 你 的 代理 会 
被 客户 端 利用 来 访问 其 它 服务 器 并 且 隐 藏 客户 端的 真实 身份 。 这 不 仅 对 您 的 网 络 有 威胁 ， 对 
整个 因特网 来 说 也 同样 如 此 。 当 使 用 反 向 代理 (在 "ProxyRequests off "条 件 下 使 

用 Proxypass 指令 ) 的 时 候 访问 控制 要 相对 宽松 ， 因 为 客户 端 只 能 连接 你 配置 的 特定 主机 。 


缓慢 启动 


如 果 您 使 用 了 ProxyBlock 指令 ， 将 会 在 启动 时 查找 并 缓存 主机 名 的 IP 地 址 以 各 后 继 的 匹配 测 
斌 使 用 。 这 将 会 花费 几 秒 或 更 长 的 时 间 ， 这 主要 取决 于 主机 名 查找 的 速度 。 


局 域 网 代理 


位 于 局 域 网 内 的 Apache 代 理 服务 器 需要 经 由 公司 的 防火 墙 转发 对 外 部 的 请 求 (使 
用 ProxyRemote 指令 来 配置 )。 但 当 它 访问 局 域 网 内 的 资源 时 ， 它 能 越过 防火 墙 直 接 访问 目的 
主机 。 在 访问 一 个 属于 局 域 网 的 服务 器 从 而 进行 直接 连接 时 ， Noproxy 指令 就 会 很 有 用 。 


局 域 网 内 的 用 户 习 惯 于 不 在 他 们 的 WWW 请 求 中 加 入 本 地 域 的 名 称 ， 于 是 会 使 
Fi"http://somehost/"3k Ry http://somehost.example.com/ 。 一 些 商业 代理 服务 器 会 不 管 这 
些 ， 只 是 采用 本 地 域 的 配置 来 简单 的 伺服 这 个 请 求 。 当 使 用 了 ProxyDomain 指令 来 为 服务 器 配 


置 了 一 个 代理 服务 时 ，Apache 会 发 出 一 个 重 定向 应 答 ， 以 使 客户 端 请 求 到 达 正 确 的 、 能 满足 
要 求 的 服务 器 地 址 。 因 为 这 样 一 来 ， 用 户 的 书签 文件 就 会 随 之 包含 完整 的 主机 名 ， 所 以 这 是 
首选 的 方法 。 


协议 调整 


当 mod proxy 向 一 个 没有 正确 实现 持久 连接 (KeepAlive) 或 HTTP/1.1 的 原始 服务 器 发 送 请 求 的 
时 候 ， 可 以 通过 设置 两 个 环境 变量 来 发 送 不 带 持 久 连 接 (KeepAlive) 的 HTTP/1.0 请 求 。 这 两 个 


变量 是 通过 setenv 指令 设置 的 。 


以 下 是 force-proxy-request-1.0 和 proxy-nokeepalive 的 例子 : 


«Location /buggyappserver/» 
ProxyPass http://buggyappserver :7001/foo/ 
SetEnv force-proxy-request-1.0 1 


SetEnv proxy-nokeepalive 1 
</Location> 


请 求 体 


一 些 请 求 方 法 (如 POST) 包 含 一 个 请 求 体 。HTTP 协 议 要 求 包含 请 求 体 的 请 求 或 者 使 用 块 传输 
编码 (chunked transfer encoding) 或 者 包含 一 个 content-Length 请 求 头 。 当 将 这 种 请 求 传 递 给 
原始 服务 器 的 时 候 ， mod_proxy_http 会 始终 尝试 使 用 Content-Length 请 求 头 。 但 如 果 原 始 请 
求 使 用 的 是 块 编码 ， 那 么 块 编码 也 同样 可 以 用 于 上 行 请 求 。 可 以 使 用 环境 变量 控制 这 种 选 
择 。 设 置 proxy-sendcl 可 以 确保 始终 发 送 content-Length 头 以 与 上 游 服 务 器 保持 最 大 程度 的 
兼容 性 ， 而 设置 proxy-sendchunked 可 以 通过 继续 使 用 块 编码 以 尽 可 能 最 小 化 资源 占用 率 。 


AllowCONNECT 指令 


说 明 通过 代理 允许 connect 的 端口 号 
语法 AllowCONNECT port [port] ... 
默认 值 AllowCONNECT 443 563 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod_proxy 


AllowcoNNECT 指使 指定 了 此 代理 的 connect 方法 可 以 连接 的 端口 号 列表 。 当 今 的 浏览 器 在 进 
行 https 连接 请 求 时 使 用 这 种 方法 ， 而 代理 默认 会 闻 其 转 为 http o 


默认 只 和 启用 了 默认 的 https 端 口 ( 44s ) 和 默认 的 snews 端 口 ( 563 )。 使 用 allowconnect THAN A 
以 覆盖 默认 设置 而 改 为 仅 人 允许 连接 列 出 的 端口 。 


注意 ， 必 须 确保 mod proxy connect 也 同时 存在 于 服务 器 中 ， 这 样 才 能 支持 CONNECT 。 


NoProxy 1&4 


说 明 直接 进行 连接 的 主机 / 域 /网 络 
语法 NoProxy host [host] ... 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod proxy 


此 指 邻 仅 适 用 于 局 域 网 内 的 Apache 代 理 服务 器 。 Noproxy JE RAE T — P rh ig] EAZE TR 43 SB 
子 网 、IP 地 址 、 主 机 和 /或 域 的 列表 。 对 某 个 匹配 上 述 一 个 或 多 个 列表 项 的 主机 的 请 求 将 直接 
被 其 伺服 而 不 会 转交 到 配置 好 的 ProxyRemote 代理 服务 器 。 


示例 


ProxyRemote * http://firewall.mycompany.com:81 


NoProxy .mycompany.com 192.168.112.0/21 


NoProxy 指令 的 host 参 数 可 以 是 以 下 选项 as 
域 


<dfn class="calibre27"> 域 </dfn> 是 一 个 DNS 域名 的 一 部 分 ， 并 在 前 面 加 上 点 号 。 它 表示 一 批 
逻辑 上 属于 同一 个 DNS 区 域 的 主机 ， 也 就 是 所 有 这 些 主机 名 有 具有 相同 的 后 级 ， 而 这 个 "后 级 "就 
是 <dfn class="calibre27"> 域 </dfn>。 


例子 


.com 
.apache.org. 


域 和 主机 名 (一 个 DNS 域 莽 至 也 可 能 有 一 条 DNS"A 记 录 ") 的 不 同 之 处 在 于 域 始 终 有 一 个 前 导 


域名 不 区 分 大 小 写 并 且 始 终 认 为 是 锚 定 在 DNS 树 根 上 的 ， 
此 .Mypomain.com 和 .mydomain.com. (注意 结尾 点 号 ) 是 完全 等 同 的 。 因 为 域 的 比较 不 需要 进行 
DNS 查询， 因此 它 比 子 网 比较 更 加 高 效 。 


子 网 


<dfn class="calibre27"> 子 网 </dfn> 以 点 分 十 进 制 形式 表示 了 一 个 因特网 地 址 的 一 部 分 ， 有 时 
会 跟着 一 个 斜 本 和子 网 掩 码 ， 以 指定 子 网 中 的 有 效 bit 位 。 它 用 于 表示 主机 通过 自身 的 普通 网 
络 接口 可 以 访问 的 子 网 范围 。 未 指定 子 网 掩 码 的 时 候 就 假定 忽略 掉 的 (或 为 雳 的 ) 结 尾数 字 就 是 
掩 码 ， 在 这 种 情况 下 ， 掩 码 bit 长 度 必须 是 8bit 的 整数 倍 。 例 如 : 


192.168 或 192.168.0.0 


子 网 " 192.168.0.0 "表示 掩 码 为 16bit( 有 时 也 用 255.255.0.0 表示 )。 


192.168.112.0/21 
FPA" 192.168.112.0/21 "表示 掩 码 为 21bit( 有 时 也 用 255.255.248.0 表示 )。 


在 退化 到 极限 的 情况 下 ， 一 个 掩 码 为 32bit 的 子 网 就 等 价 于 一 个 IP 地 址 。 而 雳 个 合法 bit 的 子 网 
("0.0.0.0/0") 等 价 于 常量 "Defaul/t"， 可 以 匹配 任何 IP 地 址 。 


IP 地 址 
<dfn class="calibre27">IP 地 址 </dfn> 以 点 分 十 进 制 形式 表示 了 一 个 完整 的 因特网 地 址 。 一 般 
来 说 ， 此 地 址 代表 一 个 主机 ， 但 并 不 需要 一 个 DNS 域 名 和 与 这 个 地 址 对 应 。 


示例 


192.168.123.7 


= 
TER 


一 个 IP 地 址 不 需要 为 一 个 DNS 系统 所 解析 ， 所 以 它 能 使 apache 获 取 更 高 性 能 。 
主机 名 


<dfn class="calibre27"> 主 机 名 </dfn> 是 一 个 完整 的 DNS 域名 ， 可 以 通过 DNS 域名 服务 解析 为 
一 个 或 多 个 IP 地 址 。 它 代表 了 一 个 逻辑 主机 (与 域 相反 ) 而 且 必 须 解析 成 至 少 一 个 IP 地 址 (或 经 常 
解析 成 具有 不 同 IP 地 址 的 主机 列表 )。 


例子 


prep.ai.mit.edu 


www.apache.org 


> 
LER 


在 很 多 情况 下 ， 指 定 一 个 IP 地 址 代 蔡 主机 名 会 更 有 效率 。 因 为 可 以 避免 一 次 DNS 查询 。 当 使 
用 一 个 低速 的 PPP 与 域名 服务 器 连接 时 ，Apache 的 域名 解析 会 花费 相当 可 观 的 时 间 。 


主机 名 不 区 分 大 小 写 并 且 始 终 认 为 是 锚 定 在 DNS 树 根 上 的 ， 


此 WWW.MyDomain.com 和 www.mydomain.com. (注意 结尾 点 号 ) 是 完全 等 同 的 。 


参见 


z 


e DNS 相关 问题 


«Proxy» 指令 


说 明 应 用 于 所 代理 资源 的 容器 
语法 «Proxy wildcard-url&gt; ...&lt;/Proxy» 
VF FA server config, virtual host 
状态 扩展 (E) 
模块 mod proxy 


位 于 «Proxy» 配置 段 中 的 指令 仅 作 用 于 匹配 的 代理 内 容 。 语 句 中 可 以 使 用 shell 凤 格 的 通 配 
符 。 


比如 说 : 下 例 仅 允许 yournetwork.example.com 中 的 主机 通过 您 的 代理 服务 器 访问 代理 内 容 : 


«Proxy *> 
Order Deny,Allow 
Deny from all 


Allow from yournetwork.example.com 
</Proxy> 


下 例 将 在 所 有 example.com 的 foo 目录 下 的 文件 通过 代理 服务 器 发 送 之 前 用 INCLUDES 过 滤器 
进行 处 理 : 


<Proxy http://example.com/foo/*> 


SetOutputFilter INCLUDES 
</Proxy> 


ProxyBadHeader 184; 


说 明 确定 如 何 义理 不 合法 的 应 答 头 


语法 ProxyBadHeader IsError&#124;Ignore&#124;StartBody 
默认 值 ProxyBadHeader IsError 

作用 域 server config, virtual host 

Ts 扩展 (E) 

模块 mod proxy 

兼容 性 仅 在 Apache 2.0.44 及 以 后 的 版 本 中 可 用 


ProxyBadHeader 指令 决定 mod proxy 如 何 处 理 不 合法 的 应 答 头 (比如 丢失 冒号 (:))。 参 数 的 取 值 
范围 如 下 : 


IsError 

以 "502"(Bad Gateway) 应 答 中 止 请 求 。 这 是 默认 行为 。 
Ignore 

忽略 ， 就 像 它们 不 存在 一 样 。 


StartBody 


在 接收 到 第 一 个 非法 头 行 时 停止 读 取 头 ， 并 将 剩余 部 分 当 作 应答 体 。 这 样 做 有 助 于 和 一 个 不 
规范 的 、 经 常 忘记 在 应 答 头 和 应 答 体 之 间 插 入 空 行 的 后 端 服 务 器 协同 工作 。 


ProxyBlock 1&8 4 


说 明 设置 被 代理 屏蔽 的 语句 、 主 机 、 域 
语法 ProxyBlock *&#124;word&#124;host&#124;domain [word&#124;host&#124;domain] ... 
Server config, virtual host 


状态 ”扩展 (E) 
模块 | mod proxy 


ProxyBlock 指 合 指 定 了 一 个 由 空格 分 隔 的 语句 、 主 机 和 /或 域 的 列表 。 对 所 有 [匹配 这 些 语句 、 
主机 和 /或 域 的 HTTP、HTTPS、FTP 文 档 的 请 求 都 将 被 代理 服务 器 阻 断 。 代 理 模块 亦 会 在 启 
动 时 尝试 确定 列表 中 可 能 是 主机 名 的 项 目 对 应 的 IP 地 址 ， 并 将 其 缓冲 用 于 匹配 测试 。 比 如 
说 : 


示例 


ProxyBlock joes-garage.com some-host.co.uk rocky.wotsamattau.edu 


通过 IP 地 址 ， rocky.wotsamattau.edu 将 可 能 同样 被 匹配 。 


青 注意 ， wotsamattau 已 经 足够 匹配 wotsamattau.edu To 


se 
~ 


l 


3x 


& 
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ProxyBlock * 
将 屏蔽 对 所 有 站 点 的 连接 。 


ProxyDomain 184 


说 明 代理 请 求 的 默认 域名 
语法 ProxyDomain Domain 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod_proxy 


此 指 合 仅 对 位 于 局 域 网 内 的 Apache 代 理 服务 器 有 用 。 — Proxybomain 指令 指定 了 apache 代 理 服 
务 器 归属 的 默认 域 。 如 果 过 到 了 一 个 对 没有 域名 的 主机 的 请 求 ， 就 会 根据 配置 自动 生成 一 个 
加 上 了 Domain 的 重 定向 应 答 。 


示例 


ProxyRemote * http://firewall.mycompany.com:81 
NoProxy .mycompany.com 192.168.112.0/21 


ProxyDomain .mycompany.com 


ProxyErrorOverride 1&4 


说 明 覆盖 代理 内 容 的 错误 页 
语法 ProxyErrorOverride On&#124; Off 
默认 值 ProxyErrorOverride Off 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod_proxy 


兼容 性 仅 在 Apache 2.0 及 以 后 的 版 本 中 可 用 


此 指令 用 于 反 向 代理 设置 中 您 想 为 最 终 用 户 提供 观感 一 致 的 错误 页 面 时 。 它 也 同样 允许 包含 
文件 (通过 mod include 的 SSI) HEME 23S FEA S 的 动作 。 (默认 行为 是 显示 被 代理 的 服务 
器 的 错误 页 面 ， 将 此 项 目 设 为 "On" 将 显示 SSI 错 误 信 息 。) 


ProxylOBufferSize 


说 明 内 部 缓冲 区 大 小 
语法 ProxyIOBufferSize bytes 
默认 值 ProxyIOBufferSize 8192 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod proxy 


ProxyIOBufferSize 指令 用 于 调整 内 部 缓冲 区 (作为 输入 输出 数据 的 暂 存 器 ) 的 大 小 。 取 值 必须 
小 于 等 于 8192 。 


在 绝 大 多 数 情 况 下 ， 不 需要 调整 这 个 设置 。 


<ProxyMatch> 


说 明 应 用 于 匹配 正则 表达 式 的 代理 资源 的 容器 
3k «ProxyMatch regex&gt; ...&lt;/ProxyMatch» 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod proxy 


<ProxyMatch> 和 «Proxy» 指令 基本 相同 ， 只 是 匹配 字符 串 可 以 为 正则 表达 式 。 


ProxyMaxForwards 184: 


说 明 转发 请 求 的 最 大 代理 数目 


语法 ProxyMaxForwards number 
默认 值 ProxyMaxForwards 10 

作用 域 server config, virtual host 

状态 扩展 (E) 

模块 mod_proxy 

兼容 性 仅 在 Apache 2.0 及 以 后 的 版 本 中 可 用 


ProxyMaxForwards 指令 指定 了 允许 转发 请 求 的 最 大 代理 数目 。 这 个 设置 是 为 了 避免 无 限 代 理 
循环 或 DoS 攻 击 的 发 生 。 


示例 


ProxyMaxForwards 15 


ProxyPass #8 


说 明 将 一 个 远 端 服务 器 映射 到 本 地 服务 器 的 URL 空 间 中 
语法 ProxyPass [path] !&#124;url [key=value key=value ...]] 
作用 域 server config, virtual host, directory 
状态 扩展 (E) 
模块 mod proxy 


该 指令 允许 你 将 一 个 远 端 服务 器 映射 到 本 地 服务 器 的 URL 空 间 中 ， 此 时 本 地 服务 器 并 不 充当 
代理 角色 ， 而 是 充当 远程 服务 器 的 一 个 镜像 。path 是 一 个 本 地 虚拟 路 径 名 ，url 是 一 个 指向 远 
程 服务 器 的 部 分 URL， 并 且 不 允许 包含 查询 字符 串 。 


当 使 用 ProxyPass 1E Hj,  ProxyRequests 指令 通常 应 当 被 设 为 off 。 


假设 本 地 服务 器 地 址 是 : nttp://example.com/ ， 那 么 ， 


ProxyPass /mirror/foo/ http://backend.example.com/ 


将 会 导致 对 http://example.com/mirror/foo/bar 的 本 地 请 求 将 会 在 内 部 转换 为 一 个 代理 请 
求 : http://backend.example.com/bar o 


"1 "指令 对 于 您 不 想 对 某 个 子 目 录 进 行 反 向 代理 时 很 有 用 。 比 如 说 : 


ProxyPass /mirror/foo/i ! 


ProxyPass /mirror/foo http://backend.example.com 
将 会 代理 除 /mirror/foo/i 之 外 的 所 有 对 backend.example.com 下 /mirror/foo 的 请 求 。 


注意 
顺序 很 重要 ， 您 需要 把 拒绝 指令 放置 在 普通 ProxyPass 指令 之 前 。 


As of Apache 2.1, the ability to use pooled connections to a backend server is available. 
Using the key-value parameters it is possible to tune this connection pooling. The default 
fora Hard Maximum for the number of connections is the number of threads per process in 
the active MPM. In the Prefork MPM, this is always 1, while with the Worker MPM it is 
controlled by the ThreadsPerchild . 


Setting min will determine how many connections will always be open to the backend 
server. Upto the Soft Maximum or smax number of connections will be created on demand. 
Any connections above smax are subject to a time to live or tt1 . Apache will never create 
more than the Hard Maximum or max connections to the backend server. 


ProxyPass /example http://backend.example.com smax=5 max-20 ttl-120 retry=300 


Parameter Default Description 


: Minumum number of connections that will always be open to 
min 0 
the backend server. 
Hard Maximum number of connections that will be allowed 
to the backend server. The default for a Hard Maximum for 
the number of connections is the number of threads per 
max den process in the active MPM. In the Prefork MPM, this is 
always 1, while with the Worker MPM it is controlled by the 
ThreadsPerChild . Apache will never create more than the 
Hard Maximum connections to the backend server. 


Upto the Soft Maximum number of connections will be 
smax max created on demand. Any connections above smax are 
subject to a time to live or tt1. 


Time To Live for the inactive connections above the smax 
ttl - connections in seconds. Apache will close all connections 
that has not been used inside that time period. 


Connection timeout in seconds. If not set the Apache will 
wait until the free connection is available. This directive is 
used for limiting the number of connections to the backend 
server together with max parameter. 


timeout Timeout 


If set this will be the maximum time to wait for a free 

acquire - connection in the connection pool. If there are no free 
connections in the pool the Apache will return sERvER BusY 
status to the client. 


This parameter should be used when you have a firewall 
between your Apache and the backend server, who tend to 
drop inactive connections. This flag will tell the Operating 
System to send kEEP ALIvE messages on inactive 
connections (interval depends on global OS settings, 
generally 120ms), and thus prevent the firewall to drop the 
connection. To enable keepalive set this property value to 
On. 


keepalive Off 


Connection pool worker retry timeout in seconds. If the 
connection pool worker to the backend server is in the error 

60 state, Apache will not forward any requests to that server 
until the timeout expires. This enables to shut down the 
backend server for maintenance, and bring it back online 
later. 


retry 


Worker load factor. Used with BalancerMember. It is a 
loadfactor 1 number between 1 and 100 and defines the normalized 
weighted load applied to the worker. 


Route of the worker when used inside load balancer. The 


route - i 
route is a value appended to seesion id. 


Redirection Route of the worker. This value is usually set 
dynamically to enable safe removal of the node from the 

redirect - cluster. If set all requests without session id will be 
redirected to the BalancerMember that has route parametar 
equal as this value. 


If the Proxy directive scheme starts with the balancer:// then a virtual worker that does not 
really communicate with the backend server will be created. Instead it is responsible for the 
management of several "real" workers. In that case the special set of parameters can be add 
to this virtual worker. 


Parameter Default Description 


Balancer load-balance method. Select the load-balancing 
scheduler method to use. Either byrequests , to perform 
lbmethod - weighted request counting or bytraffic , to perform 
weighted traffic byte count balancing. Default is 
byrequests 


Balancer sticky session name. The value is usually set to 
something like JsEssIONID EX PHPSESSIONID , and it 
depends on the backend application server that support 
sessions. 


stickysession  - 


If setto on the session will break if the worker is in error 
nofailover Off state or disabled. Set this value to On if backend servers do 
not support session replication. 


Balancer timeout in seconds. If set this will be the maximum 


Mes Q time to wait for a free worker. Default is not to wait. 


maxattempts 1 Maximum number of failover attempts before giving up. 


ProxyPass /special-area http://special.example.com/ smax-5 max-10 
ProxyPass / balancer://mycluster stickysession-jsessionid nofailover-On 
«Proxy balancer://mycluster> 
BalancerMember http://1.2.3.4:8009 
BalancerMember http://1.2.3.5:8009 smax-10 
# Less powerful server, don't send as many requests there 


BalancerMember http://1.2.3.6:8009 smax-1 loadfactor-20 
</Proxy> 


When used inside a <Location> section, the first argument is omitted and the local directory 
is obtained from the <Location> . 


If you require a more flexible reverse-proxy configuration, see the RewriteRule directive 
with the [Pj flag. 


ProxyPassReverse 指令 


说 明 调整 由 反 向 代理 服务 器 发 送 的 HTTP 应 答 头 中 的 URL 
语法 ProxyPassReverse [path] url 
作用 域 server config, virtual host, directory 
状态 扩展 (E) 


模块 mod_proxy 


此 指令 使 Apache 调 整 HTTP 重 定向 应 答 中 Location , Content-Location , URI 头 里 的 URL。 这 
样 可 以 避免 在 Apache 作 为 反 向 代理 使 用 时 ， 后 端 服 务 器 的 HTTP 重 定向 造成 的 绕 过 反 向 代理 
的 问题 。 


只 有 了 明确 指定 的 应 答 头 会 被 重 守 ， 其 它 应 答 头 保持 不 变 ， 并 且 HTML 页 面 中 的 URL 也 不 会 被 修 
改 。 如 果 被 代理 的 内 容 包 含 绝对 URL 引 用 ， 那 么 将 会 绕 过 代理 。 有 一 个 第 三 方 模块 可 以 检查 
并 改写 HTML 中 的 URL 引 用 ， 该 模块 就 是 Nick Kew 编 写 的 mod_proxy_html。 


path 是 本 地 虚拟 路 径 的 名 称 。u dy inB 4234928 URL. 5 ProxyPass 1H 命中 的 使 用 方法 
相同 。 


例如 ， 假定 本 地 服务 器 拥有 地 址 http://example.com/ , 那么 


ProxyPass /mirror/foo/ http://backend.example.com/ 
ProxyPassReverse /mirror/foo/ http://backend.example.com/ 
ProxyPassReverseCookieDomain backend.example.com public.example.com 


ProxyPassReverseCookiePath /  /mirror/foo/ 


不 仅 会 把 所 有 对 http://example.com/mirror/foo/bar 的 请 青 求 直 接 转换 为 

对 http://backend.example.com/bar 的 代理 请 求 (由 ProxyPass 提供 的 功能 )， 它 还 会 重 定向 服 
务 器 backend.example.com 的 发 送 : 当 http://backend.example.com/bar 被 它 重 定向 

到 http://backend.example.com/quux 时 ，Apache 会 在 转交 HTTP 重 定向 应 答 到 客户 端 之 前 调整 
它 为 http://example.com/mirror/foo/quux o 注意 : 被 用 于 构建 URL 的 主机 名 

& usecanonicalname 指 今 的 设置 有 关 。 


注意 ， 此 ProxyPassReverse 指令 亦 可 与 mod rewrite 的 代理 穿 透 特性 ( RewriteRule ... [P] ) 
联 用 。 因 为 它 不 依赖 于 相应 的 ProxyPass $843. 


当 在 «Location» 配置 段 中 使 用 时 ， 第 一 个 参数 会 被 忽略 而 采用 由 «Location» 指使 指定 的 本 地 
目录 。 


ProxyPassReverseCookieDomain 


Adjusts the Domain string in Set-Cookie headers from a reverse- proxied 


说 明 

Server 
语法 ProxyPassReverseCookieDomain internal-domain public-domain 
id server config, virtual host, directory 


KA 扩展 (E) 
模块 mod proxy 


Usage is basically similar to ProxyPassReverse , but instead of rewriting headers that are a 


URL, this rewrites the domain string in Set-Cookie headers. 


ProxyPassReverseCookiePath 1&4 


说 明 
语法 


作用 
域 


状态 


模块 


Adjusts the Path string in Set-Cookie headers from a reverse- proxied 
server 


ProxyPassReverseCookiePath internal-path public-path 
server config, virtual host, directory 


扩展 (E) 


mod proxy 


Usage is basically similar to ProxyPassReverse , but instead of rewriting headers that are a 


URL, this rewrites the path string in Set-Cookie headers. 


ProxyPreserveHost 1&4 


说 明 


语法 
默认 值 
作用 域 
状态 
模块 
兼容 性 


使 用 进入 的 HTTP 请 求 头 来 发 送 代理 请 求 
ProxyPreserveHost On&#124; Off 
ProxyPreserveHost Off 
server config, virtual host 
扩展 (E) 
mod proxy 


仅 在 Apache 2.0.31 及 以 后 的 版 本 中 可 用 


当 所 用 时 ， 此 选项 将 把 传人 请 求 的 "Host'" 行 传递 给 被 代理 的 主机 ， 而 不 是 传递 
在 ProxyPass 中 指定 的 主机 名 。 


此 选项 一 般 为 off KA. It is mostly useful in special configurations like proxied mass 
name-based virtual hosting, where the original Host header needs to be evaluated by the 


backend server. 


ProxyReceiveBufferSize 184 


说 明 代理 HTTP 和 FTP 连 接 的 接收 缓冲 区 大 小 ( 字 节 ) 


语法 ProxyReceiveBufferSize bytes 
默认 值 ProxyReceiveBufferSize 0 
作用 域 server config, virtual host 
状态 扩展 (E) 

模块 mod_proxy 


ProxyReceiveBuffersize 指 命 为 增加 的 吞吐 量 指定 了 代理 HTTP 和 和 FTP 连接 的 (TCP/IP) 网 络 接 
收 缓冲 区 。 这 个 值 必须 大 于 512 ， 或 设置 为 "6 "表示 使 用 系统 默认 的 缓冲 大 小 。 


示例 


ProxyReceiveBufferSize 2048 


ProxyRemote 指令 


说 明 用 于 处 理 某 些 特定 请 求 的 远 端 代理 
语法 ProxyRemote match remote-server 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod_proxy 


此 指令 定义 了 此 代理 的 远 端 代理 。match 可 以 是 远 端 服务 器 支持 的 URL 形 式 的 名 称 、 或 是 远 端 
服务 器 使 用 的 部 分 URL、 或 是 代表 服务 器 可 以 接受 所 有 请 求 的 " * "。remote-server 是 远 端 服 
务 器 的 部 分 URL。 语法 为 : 


«dfn class="calibre40">remote-server</dfn> = «var class="calibre40">scheme</var>://<var c 
do 0 KR 


scheme 是 与 远 端 服务 器 交换 信息 时 使 用 的 协议 ; 本 模块 暂时 只 支持 http 协议 。 





示例 


ProxyRemote http://goodguys.com/ http://mirrorguys.com:8000 
ProxyRemote * http://cleversite.com 


ProxyRemote ftp http://ftpproxy.mydomain.com:8080 


在 最 后 一 个 例子 中 ， 代 理会 将 封装 到 另外 一 个 HTTP 代 理 请 求 中 的 FTP 请 求 转 交 到 另外 一 个 能 
义理 它们 的 代理 去 。 


此 选项 也 支持 反 向 代理 配置 : 一 个 后 端 web 服 务 器 可 以 被 族人 到 一 个 虚拟 主机 的 URL 空 间 中 ， 
哪怕 它 是 由 另 一 个 代理 转交 过 来 的 。 


ProxyRemoteMatch 184; 


说 明 处 理 匹 配 正则 表达 式 的 请 求 的 远 端 代理 
语法 ProxyRemoteMatch regex remote-server 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod_proxy 


ProxyRemoteMatch 与 ProxyRemote 兮 基 本 相同 。 除 了 第 一 个 参数 是 由 一 个 请 求 的 URL 变 成 了 匹 
配 的 正则 表达 式 。 


ProxyRequests 184; 


说 明 启用 正 向 (标准 ) 代 理 请 求 
语法 ProxyRequests On&#124;Off 
默认 值 ProxyRequests Off 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod proxy 


此 指令 将 允许 或 茶 止 Apache 作 为 正 向 代理 服务 器 的 功能 (设置 为 off 并 不 会 禁用 ProxyPass iB 


倒 )。 
在 一 个 典型 的 反 向 代理 配置 中 ， 此 可 选项 一 般 设置 为 off 。 


为 了 能 够 代理 HTTP 或 FTP 站 点 ， mod_proxy_http 或 mod proxy ftp 必须 同时 存在 于 服务 器 


wig 
F 


在 您 没有 对 服务 器 采取 安全 措施 之 前 ， 请 不 要 用 ProxyRequests 启用 您 的 代理 。 一 个 开放 的 代 
理 服务 器 不 仅 对 您 的 网 络 有 威胁 ， 对 整个 因特网 来 说 也 同样 如 此 。 


ProxyTimeout 1&4 


说 明 代理 请 求 的 网 络 超时 
语法 ProxyTimeout seconds 
默认 值 ProxyTimeout 300 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod_proxy 
兼容 性 仅 在 Apache 2.0.31 及 以 后 的 版 本 中 可 用 


此 指 合 人 允许 用 户 对 代理 请 求 指定 一 个 超时 值 。 当 你 有 一 个 很 慢 / 错 误 多 多 的 应 用 服务 器 经 常 挂 
起 ， 而 您 宁愿 返回 一 个 超时 的 失败 信息 也 不 愿意 继续 等 待 不 知道 多 久 的 时 人 息 ， 这 个 功能 是 很 
有 用 的 。 


ProxyVia #83 


说 明 控制 代理 对 via 应 答 头 的 使 用 
jak ProxyVia On&#124; Of Fa#124; Full&#124; Block 
默认 值 ProxyVia Off 
作用 域 server config, virtual host 
Ts 扩展 (E) 
模块 mod proxy 


此 指 今 控制 代理 对 " via: " 头 的 使 用 。 它 的 目的 是 控制 位 于 代理 服务 器 链 中 的 代理 请 求 的 流 
H. RFC 2616(HTTP/1.1)14.45 小 节 以 获得 关于 " via: " 头 的 解释 。 


e 如 果 设 置 为 默认 值 off ， 将 不 会 采取 特殊 的 处 理 。 如 果 一 个 请 求 或 应 答 包 含 " via: "k, 
将 不 进行 任何 修改 而 直接 通过 。 

e 如 果 设 置 为 on 每 个 请 求 和 应答 都 会 对 应 当前 主机 得 到 一 个 " via: "ko 

e 如 果 设 置 为 cull ， 每 个 产生 的 " via:" 头 中 都 会 额外 加 入 Apache 服 务 器 的 版 本 ， 
DA" via: "注释 域 出 现 。 

e 如 果 设 置 为 Block ， 每 个 代理 请 求 中 的 所 有 " via:" 头 行 都 将 被 删除 。 且 不 会 产生 新 
BJ" via: " 头 。 


Apache 模 块 mod proxy ajp 


说 明 mod proxy 的 扩展 ， 提 供 Apache JServ Protocol 支 持 
状态 扩展 (E) 
模块 名 proxy ajp module 
源 文件 proxy ajp.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


This module requires the service of mod proxy . It provides support for the 
Apache JServ Protocol version 1.3 (hereafter AJP13). 


Thus, in order to get the ability of handling A3P13 protocol, mod proxy 和 mod proxy ajp 
have to be present in the server. 


fk He 
A 


Di 


在 您 没有 对 您 的 服务 器 采取 安全 措施 之 前 ， 不 要 启用 代理 。 开 放 的 代理 服务 器 对 你 自己 的 内 
部 网 络 和 大 规模 的 Internet 网 都 是 有 安全 隐患 的 。 


Overview of the protocol 


AJP13 protocol is packet-oriented. A binary format was presumably chosen over the more 
readable plain text for reasons of performance. The web server communicates with the 
servlet container over TCP connections. To cut down on the expensive process of socket 
creation, the web server will attempt to maintain persistent TCP connections to the servlet 
container, and to reuse a connection for multiple request/response cycles. 


Once a connection is assigned to a particular request, it will not be used for any others until 
the request-handling cycle has terminated. In other words, requests are not multiplexed over 
connections. This makes for much simpler code at either end of the connection, although it 
does cause more connections to be open at once. 


Once the web server has opened a connection to the servlet container, the connection can 
be in one of the following states: 


e Idle No request is being handled over this connection. 
e Assigned The connecton is handling a specific request. 


Once a connection is assigned to handle a particular request, the basic request informaton 
(e.g. HTTP headers, etc) is sent over the connection in a highly condensed form (e.g. 
common strings are encoded as integers). Details of that format are below in Request 
Packet Structure. If there is a body to the request (content-length &gt; 0) , that is sent in a 
separate packet immediately after. 


At this point, the servlet container is presumably ready to start processing the request. As it 
does so, it can send the following messages back to the web server: 


e SEND HEADERS Send a set of headers back to the browser. 

e SEND BODY CHUNK Send a chunk of body data back to the browser. 

e GET BODY CHUNK Get further data from the request if it hasn't all been transferred 
yet. This is necessary because the packets have a fixed maximum size and arbitrary 
amounts of data can be included the body of a request (for uploaded files, for example). 
(Note: this is unrelated to HTTP chunked tranfer). 

e END RESPONSE Finish the request-handling cycle. 


Each message is accompanied by a differently formatted packet of data. See Response 
Packet Structures below for details. 


Basic Packet Structure 


There is a bit of an XDR heritage to this protocol, but it differs in lots of ways (no 4 byte 
alignment, for example). 


Byte order: | am not clear about the endian-ness of the individual bytes. l'm guessing the 
bytes are little-endian, because that's what XDR specifies, and I'm guessing that sys/socket 
library is magically making that so (on the C side). If anyone with a better knowledge of 
socket calls can step in, that would be great. 


There are four data types in the protocol: bytes, booleans, integers and strings. 
Byte 

A single byte. 

Boolean 


Asingle byte, 1 = true , © = false . Using other non-zero values as true (i.e. C-style) may 
work in some places, but it won't in others. 


Integer 
A number in the range of 6 to 2^16 (32768) . Stored in 2 bytes with the high-order byte first. 


String 


A variable-sized string (length bounded by 2^16). Encoded with the length packed into two 
bytes first, followed by the string (including the terminating ^0"). Note that the encoded length 
does not include the trailing ^O' -- it is like strlen . This is a touch confusing on the Java 
side, which is littered with odd autoincrement statements to skip over these terminators. | 
believe the reason this was done was to allow the C code to be extra efficient when reading 
strings which the servlet container is sending back -- with the terminating XO character, the C 
code can pass around references into a single buffer, without copying. if the XO was missing, 
the C code would have to copy things out in order to get its notion of a string. 


Packet Size 


According to much of the code, the max packet size is 8 * 1024 bytes (8k) . The actual 
length of the packet is encoded in the header. 


Packet Headers 


Packets sent from the server to the container begin with ox1234 . Packets sent from the 
container to the server begin with as (that's the ASCII code for A followed by the ASCII 
code for B). After those first two bytes, there is an integer (encoded as above) with the 
length of the payload. Although this might suggest that the maximum payload could be as 
large as 2^16, in fact, the code sets the maximum to be 8K. 


Packet Format (Server- 


>Container) 
Byte 0 1 2 3 Ms 
(n*3) 
Contents 0x12 0x34 ae Sur Data 
Packet Format (Container->Server) 
Byte 0 1 2 3 4...(n*3) 
Contents A B DataLength(n) Data 


For most packets, the first byte of the payload encodes the type of message. The exception 
is for request body packets sent from the server to the container -- they are sent with a 
standard packet header ( ex1234 and then length of the packet), but without any prefix code 
after that. 


The web server can send the following messages to the servlet container: 


Type of 


ede Packet 

2 Forward 
Request 

if Shutdown 

8 Ping 

10 CPing 


none Data 


Meaning 


Begin the request-processing cycle with the following data 


The web server asks the container to shut itself down. 


The web server asks the container to take control (Secure 
login phase). 


The web server asks the container to respond quickly with a 
CPong. 


Size (2 bytes) and corresponding body data. 


To ensure some basic security, the container will only actually do the shutdown if the 


request comes from the same machine on which it's hosted. 


The first pata packet is send immediatly after the Forward Request by the web server. 


The servlet container can send the following types of messages to the webserver: 


Type of 

EROR Packet 
Send 

3 Body 
Chunk 

4 Send 
Headers 

5 End 
Response 

6 Get Body 
Chunk 

9 CPong 
Reply 


Meaning 


Send a chunk of the body from the servlet container to the web 
server (and presumably, onto the browser). 


Send the response headers from the servlet container to the web 
server (and presumably, onto the browser). 


Marks the end of the response (and thus the request-handling 
cycle). 


Get further data from the request if it hasn't all been transferred 
yet. 


The reply to a CPing request 


Each of the above messages has a different internal structure, detailed below. 


Request Packet Structure 


For messages from the server to the container of type Forward Request: 


AJP13 FORWARD REQUEST := 


prefix code (byte) 0x02 = JK AJP13 FORWARD REQUEST 
method (byte) 

protocol (string) 

req uri (string) 

remote addr (string) 

remote host (string) 

server name (string) 

server port (integer) 

is ssl (boolean) 

num headers (integer) 

request headers *(req header name req header value) 
attributes *(attribut name attribute value) 


request terminator (byte) OxFF 


request headers have the following structure: 


req header name :- 
sc req header name | (string) [see below for how this is parsed] 


Sc req header name := OxAOxx (integer) 


req header value :- (string) 


attributes are optional and have the following structure: 


attribute name :- sc a name | (sc a req attribute string) 


attribute value :- (string) 


Not that the all-important header is content-length , because it determines whether or not 
the container looks for another packet immediately. 


Detailed description of the elements of Forward Request 


Request prefix 


For all requests, this will be 2. See above for details on other Prefix codes. 


Method 


The HTTP method, encoded as a single byte: 


Command Name Code 


OPTIONS 1 
GET 2 
HEAD 3 
POST 4 
PUT 5 
DELETE 6 
TRACE 7 
PROPFIND 8 
PROPPATCH 9 
MKCOL 10 
COPY 11 
MOVE 12 
LOCK 13 
UNLOCK 14 
ACL 15 
REPORT 16 
VERSION-CONTROL 17 
CHECKIN 18 
CHECKOUT 19 
UNCHECKOUT 20 
SEARCH 21 
MKWORKSPACE 22 
UPDATE 23 
LABEL 24 
MERGE 25 
BASELINE CONTROL 26 
MKACTIVITY 27 


Later version of ajp13, will transport additional methods, even if they are not in this list. 


protocol, req uri, remote addr, remote host, server name, 
server port, is ssl 


These are all fairly self-explanatory. Each of these is required, and will be sent for every 
request. 


Headers 


The structure of request headers is the following: First, the number of headers 

num headers is encoded. Then, a series of header name req header name / value 

req header value pairs follows. Common header names are encoded as integers, to save 
space. If the header name is not in the list of basic headers, it is encoded normally (as a 
string, with prefixed length). The list of common headers sc req header. name and their codes 
is as follows (all are case-sensitive): 


Name Code value Code name 
accept OxA001 SC REQ ACCEPT 
accept-charset 0xA002 SC REQ ACCEPT CHARSET 
accept-encoding OxA003 SC REQ ACCEPT ENCODING 
accept-language 0xA004 SC_REQ_ACCEPT_LANGUAGE 
authorization OxA005 SC_REQ_AUTHORIZATION 
connection OxA006 SC_REQ_CONNECTION 
content-type OxA007 SC_REQ_CONTENT_TYPE 
content-length 0xA008 SC_REQ_CONTENT_LENGTH 
cookie OxA009 SC _ REQ COOKIE 
cookie2 OxAO0A SC REQ COOKIE2 
host OxAOOB SC REQ HOST 
pragma OxAO0C SC REQ PRAGMA 
referer OxAOOD SC REQ REFERER 
user-agent OxAOOE SC REQ USER AGENT 


The Java code that reads this grabs the first two-byte integer and if it sees an 'exae' in the 
most significant byte, it uses the integer in the second byte as an index into an array of 
header names. If the first byte is not oxao , it assumes that the two-byte integer is the length 
of a string, which is then read in. 


This works on the assumption that no header names will have length greater than 
0x9999 (--0xA000 - 1) , Which is perfectly reasonable, though somewhat arbitrary. 


MIR 
LEA : 


The content-length header is extremely important. If it is present and non-zero, the 
container assumes that the request has a body (a POST request, for example), and 
immediately reads a separate packet off the input stream to get that body. 


Attributes 


The attributes prefixed witha ? (e.g. ?context ) are all optional. For each, there is a single 
byte code to indicate the type of attribute, and then a string to give its value. They can be 
sent in any order (thogh the C code always sends them in the order listed below). A special 
terminating code is sent to signal the end of the list of optional attributes. The list of byte 
codes is: 


Information Code Value Note 
?context 0x01 Not currently implemented 
?servlet path 0x02 Not currently implemented 
?remote user 0x03 
?auth type 0x04 
?query string 0x05 
?jvm route 0x06 
?ss| cert 0x07 
?ssl| cipher 0x08 
?ss| session 0x09 
?req attribute Ox0A Name (the name of the attribute follows) 
?ss| key size OxOB 
are done OxFF request terminator 


context 和 serviet path are not currently set by the C code, and most of the Java code 
completely ignores whatever is sent over for those fields (and some of it will actually break if 
a string is sent along after one of those codes). | don't know if this is a bug or an 
unimplemented feature or just vestigial code, but it's missing from both sides of the 
connection. 


remote user 和 auth type presumably refer to HTTP-level authentication, and communicate 
the remote user's username and the type of authentication used to establish their identity 
(e.g. Basic, Digest). 


query string , ssl cert , ssl cipher , and ssl session refer to the corresponding pieces 
of HTTP and HTTPS. 


jvm route , is used to support sticky sessions -- associating a user's sesson with a 
particular Tomcat instance in the presence of multiple, load-balancing servers. 


Beyond this list of basic attributes, any number of other attributes can be sent via the 

req attribute code oxoa . A pair of strings to represent the attribute name and value are 
sent immediately after each instance of that code. Environment values are passed in via this 
method. 


Finally, after all the attributes have been sent, the attribute terminator, oxrr , is sent. This 
signals both the end of the list of attributes and also then end of the Request Packet. 


Response Packet Structure 


for messages which the container can send back to the server. 


AJP13 SEND BODY CHUNK :- 
prefix code 3 
chunk length (integer) 
chunk *(byte) 


AJP13 SEND HEADERS :- 
prefix code 4 
http status code (integer) 
http status msg (string) 
num headers (integer) 
response headers *(res header name header value) 


res header name :- 
Sc res header name | (string) [see below for how this is parsed] 


Sc res header name := OxAO0 (byte) 
header value :- (string) 
AJP13 END RESPONSE : 


prefix code 5 
( 


reuse boolean) 


AJP13 GET BODY CHUNK :- 
prefix code 6 
requested length (integer) 


Details: 


Send Body Chunk 


The chunk is basically binary data, and is sent directly back to the browser. 


Send Headers 


The status code and message are the usual HTTP things (e.g. 200 和 ok ). The response 
header names are encoded the same way the request header names are. See 

header encoding above for details about how the the codes are distinguished from the 
strings. The codes for common headers are: 


Name Code value 
Content-Type OxA001 
Content-Language OxA002 
Content-Length OxA003 
Date OxA004 
Last-Modified OxA005 
Location OxA006 
Set-Cookie 0xAO007 
Set-Cookie2 OxA008 
Servlet-Engine OxA009 
Status OxAO0A 
WWW-Authenticate OxAOOB 


After the code or the string header name, the header value is immediately encoded. 


End Response 


Signals the end of this request-handling cycle. If the reuse flag is true (2-1) , this TCP 
connection can now be used to handle new incoming requests. If reuse is false (anything 
other than 1 in the actual C code), the connection should be closed. 


Get Body Chunk 


The container asks for more data from the request (If the body was too large to fit in the first 
packet sent over or when the request is chuncked). The server will send a body packet back 
with an amount of data which is the minimum of the request. length , the maximum send 
body size (8186 (8 Kbytes - 6)) , and the number of bytes actually left to send from the 
request body. If there is no more data in the body (i.e. the servlet container is trying to read 
past the end of the body), the server will send back an empty packet, which is a body packet 
with a payload length of 0. (0x12, 0x34, 0x00, 0x00) 


Apache 模 块 mod proxy. balancer 


说 明 mod_proxy 的 扩展 ， 提 供 负 载 平衡 支持 
状态 扩展 (E) 
模块 名 proxy_balancer_module 
源 文件 proxy balancer.c 
兼容 性 仅 在 Apache 2.1 及 以 后 的 版 本 中 可 用 


概述 


This module requires the service of mod proxy . It provides load balancing support for 
HTTP , FTP 和 AJP13 protocols 


Thus, in order to get the ability of load balancing, mod proxy 和 mod proxy balancer have to 
be present in the server. 
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Load balancer scheduler algorithm 


At present, there are 2 load balancer scheduler algorithms available for use: Request 
Counting and Weighted Traffic Counting. These are controlled via the 1bmethod value of the 
Balancer definition. See the Proxy directive for more information. 


Request Counting Algorithm 


Enabled via lbmethod=byrequests , the idea behind this scheduler is that we distribute the 
requests among the various workers to ensure that each gets their configured share of the 
number of requests. It works as follows: 


<dfn class="calibre27">Ibfactor</dfn> is how much we expect this worker to work, or the 
workers's work quota. This is a normalized value representing their "share" of the amount of 
work to be done. 


<dfn class-"calibre27"»lbstatus«/dfn» is how urgent this worker has to work to fulfill its quota 
of work. 


«dfn class="calibre27">worker</dfn> is a member of the load balancer, usually a remote 
host serving one of the supported protocols. 


We distribute each worker's work quota to the worker, and then look which of them needs to 
work most urgently (biggest Ibstatus). This worker is then selected for work, and its lbstatus 
reduced by the total work quota we distributed to all workers. Thus the sum of all Ibstatus 
does not change(*) and we distribute the requests as desired. 


If some workers are disabled, the others will still be scheduled correctly. 


for each worker in workers 
worker lbstatus += worker lbfactor 
total factor += worker lbfactor 
if worker lbstatus » candidate lbstatus 
candidate - worker 


candidate lbstatus -- total factor 


If a balancer is configured as follows: 


worker a b C d 


Ibfactor 25 25 25 25 


Ibstatus 0 0 0 0 


And b gets disabled, the following schedule is produced: 


worker a b c d 
Ibstatus -50 0 29 25 
um 7 DE: x 
=F 3 NC, J 
z | IE | 


That is it schedules: acdacdacd ... Please note that: 


worker a b C d 


lbfactor 25 25 25 25 


Has the exact same behavior as: 


worker a b c d 


lbfactor 1 1 1 1 


This is because all values of «dfn class-"calibre27"»Ibfactor«/dfn» are normalized with 
respect to the others. For: 


worker a b c 


lbfactor 1 4 1 


worker b will, on average, get 4 times the requests that a 和 c will. 


The following asymmetric configuration works as one would expect: 


worker a b 


Ibfactor 70 30 
Tum e S 
Tum 7 T 
Tem 7 m 
m p - 
m = T 
m m y7 
TE 7 i 
Tm p m 
mum 7 Em 
uum 7 " 
m 7 7 


That is after 10 schedules, the schedule repeats and 7 a are selected with 3 b interspersed. 


Weighted Traffic Counting Algorithm 


Enabled via lbmethod=bytraffic , the idea behind this scheduler is very similar to the 
Request Counting method, with the following changes: 


<dfn class-"calibre27"»lbfactor«/dfn» is how much traffic, in bytes, we want this worker to 
handle. This is also a normalized value representing their "share" of the amount of work to 
be done, but instead of simply counting the number of requests, we take into account the 
amount of traffic this worker has seen. 


If a balancer is configured as follows: 


worker a b c 


lbfactor 1 2 1 


Then we mean that we want b to process twice the amount of bytes than askc should. It 
does not necessarily mean that b would handle twice as many requests, but it would process 
twice the I/O. Thus, the size of the request and response are applied to the weighting and 
selection algorithm. 


Enabling Balancer Manager Support 


This module requires the service of mod status . Balancer manager enables dynamic 
update of balancer members. You can use balancer manager to change the balance factor 
or a particular member, or put it in the off line mode. 


Thus, in order to get the ability of load balancer management, 
mod status 和 mod proxy balancer have to be present in the server. 


To enable load balancer management for browsers from the foo.com domain add this code 
to your httpd.conf configuration file 


«Location /balancer -manager> 
SetHandler balancer -manager 
Order Deny, Allow 

Deny from all 

Allow from .foo.com 


</Location> 


You can now access load balancer manager by using a Web browser to access the page 
http://your.server .name/balancer -manager 


Apaches: mod proxy connect 


说 明 mod proxy 的 扩展 ， 提 供 对 义理 HTTP connect 方法 的 支持 
状态 扩展 (E) 
模块 名 proxy connect module 


源 文件 proxy_connect.c 
概述 


本 模块 需要 mod proxy 提供 的 服务 。 它 提供 对 HTTP 的 connect 方法 的 支持 。 这 个 方法 主要 用 
于 义理 通过 代理 服务 器 的 险 道 SSL 请 求 。 


为 了 能 义理 connect 请 求 ， 模 块 mod_proxy 和 mod proxy. connect 必须 同时 存在 于 服务 器 中 。 
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Apache 模 块 mod proxy. ftp 


说 明 mod_proxy 的 FTP 支 持 模块 
状态 扩展 (E) 

模块 名 proxy ftp module 

源 文件 proxy ftp.c 


概述 


本 模块 提供 了 代理 FTP 站 点 的 能 力 ， 它 需要 nod proxy 提供 的 服务 。 这 样 ， 为 了 能 处 理 FTP 代 
理 请 求 ， 模 块 mod_proxy 和 mod_proxy_ftp 必须 同时 存在 于 服务 器 中 。 


注意 : 目前 对 FTP 的 支持 仅 限于 GET 方 法 。 
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为 什么 XXX 类 型 的 文件 不 能 从 FTP 下 载 ? 


您 可 能 没有 在 您 的 代理 mime 类 型 配置 文件 中 定义 特定 的 文件 类 型 application/octet-stream 
。 有 用 的 一 行 可 能 是 这 样 的 : 


application/octet-stream bin dms lha lzh exe class tgz taz 


VA AME, (MARSA A AA DX — vrl] : 


DefaultType application/octet-stream 


如 何 强 制 文件 xxx 使 用 FTP 的 ASCIIl 形 式 下 载 ? 


在 很 罕见 的 情况 下 ， 也 许 您 想 要 用 FTP 的 asci 传输 模式 (默认 是 binary 模式 ) 来 下 载 某 个 特 
定 的 文件 ， 您 可 以 用 在 请 求 前 面 加 上 " ;type=a "前 绥 的 方式 覆盖 mod proxy 的 默认 值 来 强制 进 
行 ASCII 模 式 的 传输 。 但 是 不 论 如 何 ，FTP 目 录 列 表 将 始终 以 ASCII 模 式 执行 。 


我 如 何 使 用 FTP 上 传 ? 


目前 ，mod_proxy 仅 支持 FTP 的 GET 方 法 ， 因 此 不 支持 使 用 FTP 上 传 。 你 可 以 通过 Apache 代 
理 改 用 HTTP 上 传 (POST 或 PUT)。 


我 如 何 能 访问 我 自己 home 目 录 以 外 的 FTP 文 件 ? 


一 个 FTP URI 一 般 被 当成 登录 用 户 home 目 录 的 相对 路 径 处 理 。 唉 ， 可 惜 您 不 能 使 用 "/../" 来 到 
达 更 上 层 的 目录 ， 因 为 点 (.) 由 浏览 器 解释 而 不 会 真正 发 送 给 FTP 服 务 器 。 为 搞定 这 个 问题 ， 在 
Apache FTP 代 理 中 实现 了 一 个 "<dfn class="calibre27">Squid %2f hack</dfn>"。 这 是 一 个 也 
被 其 它 流行 的 类 似 Squid Proxy Cache 的 代理 服务 器 使 用 的 解决 方法 。 使 用 预先 将 ”/x2f "加 
入 您 请 求 路 径 的 方法 ， 您 能 使 代理 将 FTP 起 始 目 录 改 为 " / "( 而 不 是 home 目 录 )。 例 如 ， 为 了 
取得 文件 /etc/motd ， 您 应 当 使 用 下 面 这 样 的 URL : 


ftp://«var class="calibre40">user</var>@<var class="calibre40">host</var>/%2f/etc 


4] m _ 


我 如 何 才能 在 浏览 器 的 URL 框 中 隐藏 FTP 的 明文 密码 ? 


使 用 用 户 名 和 密码 登入 一 个 FTP 服 务 器 时 ，Apache 使 用 了 不 同 的 策略 。 当 URL 中 不 存在 用 户 
名 和 密码 时 ，Apache 会 向 FTP 服 务 器 发 出 一 个 匿名 用 户 的 登录 ， 上 比如 说 : 





user: anonymous 


password: apache proxyQ 


这 对 于 配置 了 匿名 访问 的 大 多 数 FTP 服 务 器 来 说 是 很 有 效 的 。 
要 使 用 特定 的 用 户 名 ， 可 以 将 这 个 特定 的 用 户 名 嵌入 URL 中 : 

ftp://<var class="calibre40">username</var>@<var class="calibre40">host</var>/myf 
i 


如 果 在 给 出 了 这 个 用 户 名 后 ，FTP 服 务 器 要 求 提 供 一 个 密码 (这 是 它 应 该 做 的 )， 这 时 Apache 
会 回应 一 个 " 4e1 "(需要 认证 ) 应 答 ， 这 将 会 使 浏览 器 弹出 一 个 用 户 名 /密码 对 话 框 。 当 输入 了 窗 
码 后 ， 将 会 再 次 尝试 连接 ， 如 果 成 功 ， 则 请 求 的 资源 就 会 被 下 载 。 这 种 方法 的 好 处 在 于 您 的 
浏览 器 不 会 以 明码 的 形式 显示 密码 ， 而 当 您 使 用 





ftp://<var class="calibre40">username</var>:<var class="calibre40">password</var> 


«| = 








的 时 候 就 无 法 做 到 这 一 点 。 


注意 

这 种 方法 提交 的 密码 在 传输 的 时 候 没 有 进行 加 密 。 它 在 您 的 浏览 器 到 Apache 代 理 服务 器 之 间 
传输 时 为 base64 格 式 的 明文 字符 串 ， 而 在 Apache 代 理 服务 器 和 FTP 服 务 器 之 间 传 输 的 为 普通 
文本 。 所 以 ， 在 通过 HTTP 访 问 您 的 FTP 服 务 器 之 前 (或 通过 FTP 访 问 您 的 私人 文件 之 前 ) 您 应 
该 慎重 考虑 一 下 。 当 使 用 这 种 不 安全 的 手段 时 ， 一 个 窍 听 者 可 能 会 用 这 种 方法 截取 您 的 密 
码 。 


Apache 模 块 mod proxy http 


说 明 mod_proxy 的 HTTP 支 持 模块 
状态 扩展 (E) 
模块 名 proxy http module 
源 文件 proxy_http.c 


概述 


本 模块 需要 mod_proxy 提供 的 服务 。 它 提供 代理 HTTP 请 求 的 功能 。 mod_proxy_http 支持 
HTTP/0.9, HTTP/1.0, HTTP/1.1 标准 。 它 不 提供 任何 缓冲 能 力 。 如 果 你 想 要 设置 使 用 缓存 的 
代理 ， 可 以 使 用 mod_cache 模块 提供 的 服务 。 


这 样 ， 为 了 能 义理 HTTP 代 理 请 求 ， 模 块 mod_proxy 和 mod proxy http 必须 同时 存在 于 服务 器 


o 


+ 


ax H 
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Di 


在 您 没有 对 您 的 服务 器 采取 安全 措施 之 前 ， 不 要 启用 代理 。 开 放 的 代理 服务 器 对 你 自己 的 内 
部 网 络 和 大 规模 的 Internet 网 都 是 有 安全 隐患 的 。 


Apache? mod rewrite 


说 明 一 个 基于 一 定 规则 的 实时 重 写 URL 请 求 的 引擎 
状态 扩展 (E) 
模块 名 rewrite module 
源 文件 mod rewrite.c 
兼容 性 仅 在 Apache 1.3 及 以 后 的 版 本 中 可 用 


概述 


此 模块 提供 了 一 个 基于 正则 表达 式 分 析 器 的 重 写 引 擎 来 实时 重 写 URL 请 求 。 它 支持 每 个 完整 

规则 可 以 拥有 不 限 数量 的 子规 则 以 及 附加 条 件 规则 的 灵活 而 且 强 大 的 URL 操 作 机 制 。 此 URL 操 
作 可 以 依赖 于 各 种 测试 ， 比 如 服务 器 变量 、 环 境 变量 、HTTP 头 、 时 间 标 记 ， 基 至 各 种 格式 的 
用 于 匹配 URL 组 成 部 分 的 查找 数据 库 。 


此 模块 可 以 操作 URL 的 所 有 部 分 (包括 路 径 信 息 部 分 )， 在 服务 器 级 的 ( httpd,conf ) 和 目录 级 的 
( .htaccess ) 配 置 都 有 效 ， 还 可 以 生成 最 终 请 求 字符 串 。 此 重 写 操作 的 结果 可 以 是 内 部 子 处 

理 ， 也 可 以 是 外 部 请 求 的 转向 ， 蔡 至 还 可 以 是 内 部 代理 处 理 。 

但 是 ， 所 有 这 些 功能 和 灵活 性 带 来 一 个 问题 ， 那 就 是 复杂 性 ， 因 此 ， 不 要 指望 一 天 之 内 就 能 
看 懂 整 个 模块 。 


更 多 的 讨论 、 细 节 、 示 例 ， 请 查看 详细 的 URL 重 写 文档 。 


特殊 字符 的 引用 


在 Apache 1.3.20 中 ，TestString 和 Substitution 中 的 特殊 字符 可 以 用 前 导 斜 杠 () 来 实现 转 义 ( 即 
忽略 其 特殊 含义 而 视 之 为 普通 字符 )。 HEAD, Substitution T AA" \$ "来 包含 一 个 美元 符号 ， 
以 避免 mod_rewrite 把 它 视 为 反 向 引用 。 


环境 变量 


此 模块 会 跟踪 两 个 额外 的 ( 非 标 准 )CGI/SSI 环 境 变 量 ， scRIPT_URL 和 scRIPT_URI 。 他 们 包含 
了 当前 资源 的 逻辑 网 络 视图 ， 而 标准 CGISSI 变 量 SCRIPT_NAME 和 SCRIPT_FILENAME 包含 的 是 
物理 系统 视图 。 


注意 : 这 些 变量 保持 的 是 其 最 初 被 请 求 时 的 _URWURL， 即 在 任何 重 写 操作 之 前 _ 的 
URVURL。 其 重要 性 在 于 他 们 是 重 写 操 作 重 写 URL 到 物理 路 径 名 的 原始 依据 。 


示例 


SCRIPT NAME-/sw/lib/w3s/tree/global/u/rse/.www/index.html 
SCRIPT FILENAME-/U/rse/ .www/index.html 

SCRIPT URL-/Uu/rse/ 

SCRIPT URI-http://eni.engelschall.com/u/rse/ 


实用 方案 


我 们 提供 了 URL 重 写 指 南 和 高 级 URL 重 写 指 南 文档 ， 列 举 了 许多 基于 URL 的 问题 的 实用 方 
案 ， 其 中 你 可 以 找到 真实 有 用 的 规则 集 。 


RewriteBase 指令 


说 明 设置 目录 级 重 写 的 基准 URL 
语法 RewriteBase _URL-path_ 
默认 值 参见 使 用 方法 
作用 域 directory, .htaccess 
gam Filelnfo 
状态 扩展 (E) 
模块 mod_rewrite 


RewriteBase 指 合 显 式 地 设置 了 目录 级 重 写 的 基准 URL。 在 下 文中 ， 你 可 以 看 

见 RewriteRule 可 以 用 于 目录 级 的 配置 文件 中 ( .htaccess ) 并 在 局 部 范围 内 起 作用 ， 即 规则 实 
际 处 理 的 只 是 剥离 了 本 地 路 径 前 级 的 一 部 分 。 处 理 结束 后 ， 这 个 路 径 会 被 自动 地 附着 回去 。 
默认 值 是 " RewriteBase physical-directory-path"。 


na 


在 对 一 个 新 的 URL 进 行 替 换 时 ， 此 模块 必须 把 这 个 URL 重 新 注入 到 服务 器 处 理 中 。 为 此 ， 它 
必须 知道 其 对 应 的 URL 前 级 或 者 说 URL 基 准 。 通 常 ， 此 前 级 就 是 对 应 的 文件 路 径 。 但 是 ， 大 
多 数 网 站 URL 不 是 直接 对 应 于 其 物理 文件 路 径 的 ， 因 而 一 般 不 能 做 这 样 的 假定 ! 所 以 在 这 种 情 
况 下 ， 就 必须 用 RewriteBase 指 命 来 指定 正确 的 URL 前 级 。 


如 果 你 的 网 站 服务 器 URL 不 是 与 物理 文件 路 径直 接 对 应 的 ， 而 又 需要 使 用 RewriteBase 1E 4, 
则 必须 在 每 个 对 应 的 .htaccess 文件 中 指定 RewriteRule o 


例如 ， 目 录 级 配置 文件 内 容 如 下 : 


/abc/def/.htaccess -- per-dir config file for directory /abc/def 
Remember: /abc/def is the physical path of /xyz, i.e. , the server 
has a 'Alias /xyz /abc/def' directive 例如 ， 


Yk dk dt dk d 


RewriteEngine On 

4 let the server know that we were reached via /xyz and not 
# via the physical path prefix /abc/def 

RewriteBase /Xyz 


4 now the rewriting rules 
RewriteRule ^oldstuffN.html$  newstuff.html 


上 述 例子 中 ， 对 /xyz/oldstuff.ntml 的 请 求 被 正确 地 重 写 为 物理 的 文 


件 /abc/def/newstuff.html 。 


For Apache Hackers 
以 下 列 出 了 内 部 处 理 的 详细 步骤 : 
Request: 


/xyz/oldstuff.html 


Internal Processing: 


/xyz/oldstuff.html -> /abc/def/oldstuff.html (per-server Alias) 

/abc/def/oldstuff.html -> /abc/def/newstuff.html (per-dir RewriteRule) 

/abc/def/newstuff.html -> /xyz/newstuff.html (per-dir RewriteBase) 

/xyz/newstuff.html -> /abc/def/newstuff.html (per-server Alias) 
Result: 


/abc/def/newstuff.html 


虽然 这 个 过 程 看 来 很 繁复 ， 但 是 由 于 目录 级 重 写 的 到 来 时 机 已 经 太 晚 了 ， 它 不 得 不 把 这 个 ( 重 
宇 ) 请 求 重新 注入 到 Apache 核 心中 ， 所 以 Apache 内 部 确实 是 这 样 处 理 的 。 但 是 : 它 的 开销 并 
不 象 看 起 来 的 那样 大 ， 因 为 重新 注入 完全 在 Apache 服 务 器 内 部 进行 ， 而 且 这 样 的 过 程 在 
Apache 内 部 也 为 其 他 许多 操作 所 使 用 。 所 以 ， 你 可 以 充分 信任 其 设计 和 实现 是 正确 的 。 


RewriteCond #8 


说 明 定义 重 写 发 生 的 条 件 
语法 RewriteCond _TestString_ _CondPattern_ 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 扩展 (E) 


模块 mod rewrite 


Rewritecond 指令 定义 了 一 个 规则 的 条 件 ， 即 在 一 个 RewriteRule 指令 之 前 有 一 个 或 多 
个 Rewritecond 指 合 。 条 件 之 后 的 重 写 规则 仅 在 当前 URI 与 pattern 匹 配 并 且 符 合 这 些 条 件 的 时 
候 才 会 起 作用 。 


TestString 是 一 个 纯 文本 的 字符 串 ， 但 是 还 可 以 包含 下 列 可 扩展 的 成 分 : 
。 RewriteRule 反 向 引用 ， 引 用 方法 是 : 
$N 


(0 <= N <= 9) 引 用 当前 ( 带 有 若干 RewriteRule 指使 的 ) Rewritecond 中 的 与 pattern 匹 配 的 
分 组 成 分 ( 圆 括号 !)。 


。 RewriteCond 反 向 引用 ， 引 用 方法 是 : 

%N 

(1 <= N <= 9) 引 用 当前 若干 Rewritecond 条 件 中 最 后 符合 的 条 件 中 的 分 组 成 分 ( 圆 括号 !)。 
e RewriteMap 扩 展 ， 引 用 方法 是 : 

${mapname:key|default} 

细节 请 参见 RewriteMap 1843. 
。 服务 器 变量 ， 引 用 方法 是 : 

xt NAME OF VARIABLE } 

NAME OF_VARIABLE 可 以 是 下 表 列 出 的 字符 串 之 一 : 


HTTP headers: connection & request: 


HTTP_USER_AGENT 
HTTP_REFERER HTTP_COOKIE 
HTTP_FORWARDED 
HTTP_HOST 
HTTP_PROXY_CONNECTION 
HTTP_ACCEPT 


REMOTE_ADDR REMOTE_HOST 
REMOTE_PORT REMOTE_USER 
REMOTE_IDENT REQUEST_METHOD 
SCRIPT_FILENAME PATH_INFO 
QUERY_STRING AUTH_TYPE 


Server internals: date and time: specials: 
DOCUMENT ROOT 
SERVER ADMIN TIME YEAR AP| VERSION 
SERVER NAME TIME MON THE REQUEST 
SERVER ADDR TIME DAYTIME HOUR . REQUEST URI 
SERVER PORT TIME MINTIME SEC REQUEST FILENAME 
SERVER PROTOCOL TIME WDAY TIME IS SUBREQ HTTPS 


SERVER SOFTWARE 


These variables all correspond to the similarly named HTTP MIME-headers, C variables 
of the Apache server or struct tm fields of the Unix system. Most are documented 
elsewhere in the Manual or in the CGI specification. Those that are special to 

mod rewrite include: 


IS SUBREQ 


Will contain the text "true" if the request currently being processed is a sub-request, 
"false" otherwise. Sub-requests may be generated by modules that need to resolve 
additional files or URIs in order to complete their tasks. 


API VERSION 


This is the version of the Apache module API (the internal interface between server and 
module) in the current httpd build, as defined in include/ap mmn.h. The module API 
version corresponds to the version of Apache in use (in the release version of Apache 
1.3.14, for instance, it is 19990320:10), but is mainly of interest to module authors. 


THE REQUEST 


The full HTTP request line sent by the browser to the server (e.g., 
" GET /index.html HTTP/1.1 "). This does not include any additional headers sent by the 
browser. 


REQUEST. URI 


The resource requested in the HTTP request line. (In the example above, this would be 
"Aindex.html".) 


REQUEST. FILENAME 


The full local filesystem path to the file or script matching the request. 


HTTPS 


Will contain the text "on" if the connection is using SSL/TLS, or "off" otherwise. (This 
variable can be safely used regardless of whether mod ssi is loaded). 


Special Notes: 


1. The variables SCRIPTFILENAME and REQUEST FILENAME contain the same value, 
_ie., the value of the filename field of the internal request rec structure of the 
Apache server. The first name is just the commonly known CGI variable name while the 
second is the consistent counterpart to REQUEST URI (which contains the value of the 

uri field of request rec ). 

2. There is the special format: %{ENV:variable} where variable can be any environment 
variable. This is looked-up via internal Apache structures and (if not found there) via 

getenv() from the Apache server process. 


3. There is the special format: %{ssL:variable} where variable is the name of an SSL 
environment variable; this can be used whether or not mod ssi is loaded, but will 
always expand to the empty string if itis not. Example: %{ss_:ssL_CIPHER_USEKEYSIZE} 
may expand to 128 . 

4. There is the special format: %{HTTP:header} where header can be any HTTP MIME- 
header name. This is looked-up from the HTTP request. Example: 

%{HTTP:Proxy-Connection} is the value of the HTTP header" Proxy-Connection: " 

5. There is the special format %{LA-U:variable} for look-aheads which perform an internal 
(URL-based) sub-request to determine the final value of variable. Use this when you 
want to use a variable for rewriting which is actually set later in an API phase and thus 
is not available at the current stage. For instance when you want to rewrite according to 
the REMOTE_USER variable from within the per-server context ( httpd.conf file) you have 
to use %{LA-U:REMOTE_USER} because this variable is set by the authorization phases 
which come after the URL translation phase where modrewrite operates. On the other 
hand, because mod rewrite implements its per-directory context ( .htaccess file) via 
the Fixup phase of the API and because the authorization phases come before this 
phase, you just can use %{REMOTE_USER} there. 

6. There is the special format: %{LA-F:variable} which performs an internal (filename- 
based) sub-request to determine the final value of variable. Most of the time this is the 
same as LA-U above. 


CondPattern is the condition pattern, i.e., a regular expression which is applied to the current 
instance of the TestString, i.e., TestString is evaluated and then matched against 
CondPattern. 


Remember: CondPattern is a perl compatible regular expression with some additions: 


1. You can prefix the pattern string with a' | ' character (exclamation mark) to specify a 
non-matching pattern. 

2. There are some special variants of CondPatterns. Instead of real regular expression 
strings you can also use one of the following: 


o '<CondPattern' (is lexically lower) Treats the CondPattern as a plain string and 
compares it lexically to TestString. True if TestString is lexically lower than 
CondPattern. 

o '>CondPattern' (is lexically greater) Treats the CondPattern as a plain string and 
compares it lexically to TestString. True if TestString is lexically greater than 
CondPattern. 

o '=CondPattern' (is lexically equal) Treats the CondPattern as a plain string and 
compares it lexically to TestString. True if TestString is lexically equal to 
CondPattern, i.e the two strings are exactly equal (character by character). If 
CondPattern is just "" (two quotation marks) this compares TestString to the 


empty string. 

o '-d' (is directory) Treats the TestString as a pathname and tests if it exists and is a 
directory. 

o '-f (is regular file) Treats the TestString as a pathname and tests if it exists and is a 
regular file. 

o '-s' (is regular file with size) Treats the TestString as a pathname and tests if it 
exists and is a regular file with size greater than zero. 

o -| (is symbolic link) Treats the TestString as a pathname and tests if it exists and is 
a symbolic link. 

o '-X (has executable permissions) Treats the TestString as a pathname and tests if it 
exists and has execution permissions. These permissions are determined 
depending on the underlying OS. 

o '-F' (is existing file via subrequest) Checks if TestString is a valid file and accessible 
via all the server's currently-configured access controls for that path. This uses an 
internal subrequest to determine the check, so use it with care because it 
decreases your servers performance! 

o '-U' (is existing URL via subrequest) Checks if TestString is a valid URL and 
accessible via all the server's currently-configured access controls for that path. 
This uses an internal subrequest to determine the check, so use it with care 
because it decreases your server's performance! 


Notice 


All of these tests can also be prefixed by an exclamation mark ('!') to negate their 
meaning. 


Additionally you can set special flags for CondPattern by appending 
[ flags ] 


as the third argument to the Rewritecond directive. Flags is a comma-separated list of the 
following flags: 


* ' nocase|Nc ' (no case) This makes the test case-insensitive, i.e., there is no difference 
between 'A-Z' and 'a-z' both in the expanded TestString and the CondPattern. This flag 
is effective only for comparisons between TestStringsll CondPattern. It has no effect on 
filesystem and subrequest checks. 

e ' ornext |oR ' (或 next condition) Use this to combine rule conditions with a local OR 
instead of the implicit AND. Typical example: 


RewriteCond 9£((REMOTE HOST) Ahost1.* [OR] 

RewriteCond %{REMOTE_HOST} Ahost2.* [OR] 

RewriteCond %{REMOTE_HOST}  ^host3.* 

RewriteRule ...some special stuff for any of these hosts... 


Without this flag you would have to write the cond/rule three times. 
Example: 


To rewrite the Homepage of a site according to the " User-Agent: " header of the request, 
you can use the following: 


RewriteCond  ?6$(HTTP USER AGENT)  ^Mozilla.* 


RewriteRule ^/$ /homepage.max.html  [L] 
RewriteCond  ?6$(HTTP USER AGENT) ALynx.* 

RewriteRule ^/$ /homepage.min.html  [L] 
RewriteRule ^/$ /homepage.std.html  [L] 


Interpretation: If you use Netscape Navigator as your browser (which identifies itself as 
'‘Mozilla'), then you get the max homepage, which includes Frames, etc. If you use the Lynx 
browser (which is Terminal-based), then you get the min homepage, which contains no 
images, no tables, efc. If you use any other browser you get the standard homepage. 


RewriteEngine 1845 


说 明 Enables or disables runtime rewriting engine 
语法 RewriteEngine on&#124; off 
默认 值 RewriteEngine off 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
状态 扩展 (E) 
模块 mod rewrite 


RewriteEngine directive enables or disables the runtime rewriting engine. If itis setto off 
this module does no runtime processing at all. It does not even update the SCRIPT_URx 
environment variables. 


Use this directive to disable the module instead of commenting out all the RewriteRule 
directives! 


Note that, by default, rewrite configurations are not inherited. This means that you need to 
have a RewriteEngine on directive for each virtual host in which you wish to use it. 


RewriteLock 18 € 


说 明 Sets the name of the lock file used for RewriteMap Synchronization 
语法 RewriteLock _file-path_ 
作用 域 server config 
状态 扩展 (E) 


模块 mod rewrite 


This directive sets the filename for a synchronization lockfile which modrewrite needs to 
communicate with Rewritemap _ programs. Set this lockfile to a local path (not on a NFS- 
mounted device) when you want to use a rewriting map-program. It is not required for other 
types of rewriting maps. 


RewriteLog 184 


说 明 Sets the name of the file used for logging rewrite engine processing 


语法 RewriteLog  file-path 
作用 域 ^ server config, virtual host 
状态 扩展 (E) 


模块 mod rewrite 


RewriteLog directive sets the name of the file to which the server logs any rewriting actions 
it performs. If the name does not begin with a slash (' / ') then it is assumed to be relative to 
the Server Root. The directive should occur only once per server config. 


To disable the logging of rewriting actions it is not recommended to set Filename to 

/dev/null , because although the rewriting engine does not then output to a logfile it still 
creates the logfile output internally. This will slow down the server with no advantage to 
the administrator! To disable logging either remove or comment out the RewriteLog 
directive or use RewriteLogLevel 0 ! 


安全 


See the Apache Security Tips document for details on why your security could be 
compromised if the directory where logfiles are stored is writable by anyone other than the 
user that starts the server. 


示例 


RewriteLog "/usr/local/var/apache/logs/rewrite.log" 


RewriteLogLevel #33 


说 明 Sets the verbosity of the log file used by the rewrite engine 
语法 RewriteLogLevel Level. 
默认 值 RewriteLogLevel 0 


作用 域 server config, virtual host 
状态 扩展 (E) 


模块 mod_rewrite 


RewriteLogLevel directive sets the verbosity level of the rewriting logfile. The default level 0 
means no logging, while 9 or more means that practically all actions are logged. 


To disable the logging of rewriting actions simply set Level to 0. This disables all rewrite 
action logs. 


Using a high value for Level will slow down your Apache server dramatically! Use the 
rewriting logfile at a Level greater than 2 only for debugging! 


示例 


RewriteLogLevel 3 


RewriteMap #83 


说 明 Defines a mapping function for key-lookup 
语法 RewriteMap _MapName_ _MapType_:_MapSource_ 
ua server config, virtual host 


KA 扩展 (E) 
模块 mod rewrite 


兼容 The choice of different dbm types is available in Apache 2.0.41 及 以 后 的 版 本 
性 中 可 用 


RewriteMap directive defines a Rewriting Map which can be used inside rule substitution 
strings by the mapping-functions to insert/substitute fields through a key lookup. The source 
of this lookup can be of various types. 


MapName is the name of the map and will be used to specify a mapping-function for the 
substitution strings of a rewriting rule via one of the following constructs: 


${ MapName : LookupKey } ${ MapName : LookupKey | DefaultValue } 


When such a construct occurs the map MapName is consulted and the key LookupKey is 
looked-up. If the key is found, the map-function construct is substituted by SubstValue. If the 
key is not found then it is substituted by DefaultValue or by the empty string if no 
DefaultValue was specified. 


For example, you might define a RewriteMap as: 


RewriteMap examplemap txt:/path/to/file/map.txt 


You would then be able to use this map in a RewriteRule as follows: 


RewriteRule ^/ex/(.*) ${examplemap: $1} 


The following combinations for Map Type#1 MapSource can be used: 


e Standard Plain Text MapType: txt , MapSource: Unix filesystem path to valid regular 
file 


This is the standard rewriting map feature where the MapSource is a plain ASCII file 
containing either blank lines, comment lines (starting with a '#' character) or pairs like 
the following - one per line. 


MatchingKey SubstValue 


示例 


THE 
## map.txt -- rewriting map 
THE 


Ralf.S.Engelschall rse # Bastard Operator From Hell 
Mr.Joe.Average joe # Mr. Average 


RewriteMap real-to-user txt:/path/to/file/map.txt 


e Randomized Plain Text MapType: rnd , MapSource: Unix filesystem path to valid 
regular file 


This is identical to the Standard Plain Text variant above but with a special post- 
processing feature: After looking up a value it is parsed according to contained " | " 
characters which have the meaning of "or". In other words they indicate a set of 
alternatives from which the actual returned value is chosen randomly. For example, you 
might use the following map file and directives to provide a random load balancing 
between several back-end server, via a reverse-proxy. Images are sent to one of the 
servers in the 'static' pool, while everything else is sent to one of the 'dynamic' pool. 


Example: 


Rewrite map file 


## 
## map.txt -- rewriting map 
## 


static  www1 | www2 | www3 | www4 
dynamic www5|www6 


Configuration directives 


RewriteMap servers rnd:/path/to/file/map.txt 


RewriteRule ^/(.*N.(png|gif|jpg)) http://${servers:static}/$1 
[NC, P,L] 


RewriteRule ^/(.*) http://${servers:dynamic}/$1 [P,L] 


e Hash File MapType: dbm[- type ] , MapSource: Unix filesystem path to valid regular 
file 


Here the source is a binary format DBM file containing the same contents as a Plain 
Text format file, but in a special representation which is optimized for really fast lookups. 
The type can be sdbm, gdbm, ndbm, or db depending on compile-time settings. If the 
type is omitted, the compile-time default will be chosen. You can create such a file with 
any DBM tool or with the following Perl script. Be sure to adjust it to create the 
appropriate type of DBM. The example creates an NDBM file. 


#!/path/to/bin/perl 

## 

## txt2dbm -- convert txt map to dbm format 
THE 


use NDBM File; 
use Fcntl; 


($txtmap, $dbmmap) = QARGV; 


open(TXT, "&lt;$txtmap") or die "Couldn't open $txtmap!\n"; 
tie (%DB, 'NDBM File', $dbmmap,O RDWR|O TRUNC|O CREAT, 0644) 
or die "Couldn't create $dbmmap!\n"; 


while (&lt;TXT&gt;) { 

next if (/^Ns*Z£/ or /^Ns*$/); 

$DB($1) = $2 if (/^NS*(NS*)NS*(NS*)/); 
} 


untie %DB; 
close(TXT); 


$ txt2dbm map.txt map.db 


e Internal Function MapType: int , MapSource: Internal Apache function 


Here the source is an internal Apache function. Currently you cannot create your own, 
but the following functions already exists: 


o toupper: Converts the looked up key to all upper case. 
o tolower: Converts the looked up key to all lower case. 
o escape: Translates special characters in the looked up key to hex-encodings. 
o unescape: Translates hex-encodings in the looked up key back to special 
characters. 
e External Rewriting Program MapType: prg , MapSource: Unix filesystem path to 
valid regular file 


Here the source is a program, not a map file. To create it you can use the language of 
your choice, but the result has to be a executable (i.e., either object-code or a script with 
the magic cookie trick ' #!/path/to/interpreter ' as the first line). 


This program is started once at startup of the Apache servers and then communicates 

with the rewriting engine over its stdin 和 stdout file-handles. For each map-function 
lookup it will receive the key to lookup as a newline-terminated string on stdin . It then 
has to give back the looked-up value as a newline-terminated string on stdout or the 

four-character string " NuLL " if it fails (/.e., there is no corresponding value for the given 
key). A trivial program which will implement a 1:1 map (i.e., key == value) could be: 


#!/usr/bin/perl 


$| = 1; 

while (&lt;STDIN&gt;) { 
# ...put here any transformations or lookups... 
print $_; 

} 


But be very careful: 


1. "Keep it simple, stupid" (KISS), because if this program hangs it will hang the 
Apache server when the rule occurs. 

2. Avoid one common mistake: never do buffered I/O on stdout ! This will cause a 
deadloop! Hence the " $|=1 "in the above example... 

3. Use the RewriteLock directive to define a lockfile mod rewrite can use to 
synchronize the communication to the program. By default no such synchronization 
takes place. 


RewriteMap directive can occur more than once. For each mapping-function use one 
RewriteMap directive to declare its rewriting mapfile. While you cannot declare a map in 
per-directory context it is of course possible to use this map in per-directory context. 


z 
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For plain text and DBM format files the looked-up keys are cached in-core until the mtime of 
the mapfile changes or the server does a restart. This way you can have map-functions in 
rules which are used for every request. This is no problem, because the external lookup 
only happens once! 


RewriteOptions 指令 


说 明 Sets some special options for the rewrite engine 


语法 RewriteOptions Options 


作用 域 server config, virtual host, directory, .htaccess 


fem i Filelnfo 
状态 扩展 (E) 
模块 mod rewrite 


兼容 性 MaxRedirects is no longer available in version 2.1 及 以 后 的 版 本 中 可 用 


RewriteOptions directive sets some special options for the current per-server or per- 
directory configuration. The Option string can be currently only one: 


inherit 


This forces the current configuration to inherit the configuration of the parent. In per-virtual- 
server context this means that the maps, conditions and rules of the main server are 
inherited. In per-directory context this means that conditions and rules of the parent 
directory'S .htaccess configuration are inherited. 


RewriteRule 1&4 


说 明 Defines rules for the rewriting engine 
语法 RewriteRule Pattern Substitution. 
VF FA server config, virtual host, directory, .htaccess 
Bund FileInfo 
状态 扩展 (E) 
模块 mod rewrite 


兼容 性 The cookie-flag is available in Apache 2.0.40 及 以 后 的 版 本 中 可 用 


RewriteRule directive is the real rewriting workhorse. The directive can occur more than 
once. Each directive then defines one single rewriting rule. The definition order of these 
rules is important, because this order is used when applying the rules at run-time. 


Pattern is a perl compatible regular expression which gets applied to the current URL. Here 
"current" means the value of the URL when this rule gets applied. This may not be the 
originally requested URL, because any number of rules may already have matched and 
made alterations to it. 


Some hints about the syntax of regular expressions: 


see ESSA 
ror Any single character 

xod [maces faites SE E Character class: One of chars 

oss chars bes Character class: None of chars 


text1**' | **text2 Alternative: text1 or text2 


**Quantifiers:** 


iue © or 1 of the preceding text 
RETR RE © or N of the preceding text (N > 0) 
Wc RE 1 or N of the preceding text (N > 1) 


**Grouping: ** 
eC (SD asses Grouping of text 
(either to set the borders of an alternative or 
for making backreferences where the **N**th group can 
be used on the RHS of a RewriteRule with $**N**) 


**Anchors:** 
X NO RX Start of line anchor 
opas End of line anchor 


**Escaping:** 
Nec has escape that particular char 
(for instance to specify the chars ".[]()" etc. ) 


For more information about regular expressions have a look at the perl regular expression 
manpage ("perldoc perire"). If you are interested in more detailed information about regular 
expressions and their variants (POSIX regex etc.) have a look at the following dedicated 
book on this topic: 


Mastering Regular Expressions, 2nd Edition Jeffrey E.F. Friedl O'Reilly & Associates, Inc. 
2002 ISBN 0-596-00289-0 


Additionally in modrewrite the NOT character (' | ') is a possible pattern prefix. This gives 
you the ability to negate a pattern; to say, for instance: " if the current URL does NOT match 
this pattern". This can be used for exceptional cases, where it is easier to match the 
negative pattern, or as a last default rule. 


Notice 


When using the NOT character to negate a pattern you cannot have grouped wildcard parts 
in the pattern. This is impossible because when the pattern does NOT match, there are no 
contents for the groups. In consequence, if negated patterns are used, you cannot use $n 
in the substitution string! 


Substitution of a rewriting rule is the string which is substituted for (or replaces) the original 
URL for which Pattern matched. Beside plain text you can use 


back-references sw to the RewriteRule pattern 
back-references %n to the last matched RewriteCond pattern 
server-variables as in rule condition test-strings ( %{vARNAME} ) 


上 mnN 一 


mapping-function calls ( ${mapname:key|default} ) 


Back-references are $ N (N=0..9) identifiers which will be replaced by the contents of the 
Nth group of the matched Pattern. The server-variables are the same as for the TestString of 
a RewriteCond directive. The mapping-functions come from the RewriteMap directive and 
are explained there. These three types of variables are expanded in the order of the above 
list. 


As already mentioned above, all the rewriting rules are applied to the Substitution (in the 
order of definition in the config file). The URL is completely replaced by the Substitution 
and the rewriting process goes on until there are no more rules unless explicitly terminated 
bya **L** flag - see below. 


There is a special substitution string named ' - ' which means: NO substitution! Sounds 
silly? No, it is useful to provide rewriting rules which only match some URLs but do no 
substitution, 例如 ，in conjunction with the C (chain) flag to be able to have more than one 
pattern to be applied before a substitution occurs. 


Query String 


Pattern will not match against the query string. Instead, you must use a RewriteCond with 
the %{QUERY_STRING} variable. You can, however, create URLs in the substitution string 
containing a query string part. Just use a question mark inside the substitution string to 
indicate that the following stuff should be re-injected into the query string. When you want to 
erase an existing query string, end the substitution string with just the question mark. To 
combine a new query string with an old one, use the posa] flag (see below). 


Substitution of Absolute URLs 


There is a special feature: When you prefix a substitution field with 

http:// thishost[:thisport| then mod rewrite automatically strips it out. This auto-reduction 
on implicit external redirect URLs is a useful and important feature when used in 
combination with a mapping-function which generates the hostname part. Have a look at the 
first example in the example section below to understand this. 


Remember: An unconditional external redirect to your own server will not work with the 
prefix http://thishost because of this feature. To achieve such a self-redirect, you have to 
use the R-flag (see below). 


Additionally you can set special flags for Substitution by appending 
[ flags ] 


as the third argument to the RewriteRule directive. Flags is a comma-separated list of the 
following flags: 


' chain|c ' (chained with next rule) This flag chains the current rule with the next rule 
(which itself can be chained with the following rule, efc.). This has the following effect: if 
a rule matches, then processing continues as usual, i.e., the flag has no effect. If the 
rule does not match, then all following chained rules are skipped. For instance, use it to 
remove the " .www " part inside a per-directory rule set when you let an external redirect 
happen (where the " .www " part should not to occur!). 
' cookie|co= NAME: VAL:domain[:lifetime[:path]|] (set cookie) This sets a cookie on the 
client's browser. The cookie's name is specified by NAME and the value is VAL. The 
domain field is the domain of the cookie, such as '.apache.org'.the optional /ifetime is 
the lifetime of the cookie in minutes, and the optional path is the path of the cookie 
' env|E= VAR:VAL' (set environment variable) This forces an environment variable 
named VAR to be set to the value VAL, where VAL can contain regexp backreferences 

$n 和 %N which will be expanded. You can use this flag more than once to set more 
than one variable. The variables can be later dereferenced in many situations, but 
usually from within XSSI (via <!--#echo varz"van"--» ) or CGI (例如 ， sENv(' van!) ). 
Additionally you can dereference it in a following RewriteCond pattern via %{ENV:VAR} . 
Use this to strip but remember information from URLs. 
' forbidden|F ' (force URL to be forbidden) This forces the current URL to be forbidden, 
i.e., it immediately sends back a HTTP response of 403 (FORBIDDEN). Use this flag in 
conjunction with appropriate RewriteConds to conditionally block some URLs. 
' gone|G ' (force URL to be gone) This forces the current URL to be gone, i.e., it 
immediately sends back a HTTP response of 410 (GONE). Use this flag to mark pages 
which no longer exist as gone. 
' handler |H =Content-handler (force Content handler) Force the Content-handler of the 
target file to be Content-handler. For instance, this can be used to simulate the 

mod alias directive scriptAlias which internally forces all files inside the mapped 
directory to have a handler of " cgi-script " 
' last|L ' (last rule) Stop the rewriting process here and don't apply any more rewriting 
rules. This corresponds to the Perl last command or the break command from the C 
language. Use this flag to prevent the currently rewritten URL from being rewritten 
further by following rules. For example, use it to rewrite the root-path URL (' / ) to a 
real one, 例如 ，' /e/www/ '. 
' next|N ' (next round) Re-run the rewriting process (starting again with the first rewriting 
rule). Here the URL to match is again not the original URL but the URL from the last 
rewriting rule. This corresponds to the Perl next command or the continue command 
from the C language. Use this flag to restart the rewriting process, i.e., to immediately 
go to the top of the loop. But be careful not to create an infinite loop! 
' nocase|Nc ' (no case) This makes the Pattern case-insensitive, i.e., there is no 
difference between 'A-Z' and 'a-Z' when Pattern is matched against the current URL. 


' noescape|NE ' (no URI escaping of output) This flag keeps mod rewrite from applying 
the usual URI escaping rules to the result of a rewrite. Ordinarily, special characters 
(such as '%', '$', ';', and so on) will be escaped into their hexcode equivalents ('%25', 
'%24', and '%3B', respectively); this flag prevents this from being done. This allows 
percent symbols to appear in the output, as in 


RewriteRule /foo/(.*) /bar?arg=P1\%3d$1 [R,NE] 


which would turn ' /foo/zed ' into a safe request for' /bar?arg=P1=zed '. 


' nosubreq|Ns ' (used only if no internal sub-request) This flag forces the rewriting engine 
to skip a rewriting rule if the current request is an internal sub-request. For instance, 
sub-requests occur internally in Apache when mod include tries to find out information 
about possible directory default files ( index.xxx ). On sub-requests it is not always 
useful and even sometimes causes a failure to if the complete set of rules are applied. 
Use this flag to exclude some rules. 


Use the following rule for your decision: whenever you prefix some URLs with CGI- 
scripts to force them to be processed by the CGl-script, the chance is high that you will 
run into problems (or even overhead) on sub-requests. In these cases, use this flag. 


' proxy|P ' (force proxy) This flag forces the substitution part to be internally forced as a 
proxy request and immediately (/.e., rewriting rule processing stops here) put through 
the proxy module. You have to make sure that the substitution string is a valid URI ( 例 
4, typically starting with nttp:// hostname) which can be handled by the Apache 
proxy module. If not you get an error from the proxy module. Use this flag to achieve a 
more powerful implementation of the ProxyPass directive, to map some remote stuff 
into the namespace of the local server. 


~ 


注意 : mod_proxy must be enabled in order to use this flag. 


' passthrough|PT ' (pass through to next handler) This flag forces the rewriting engine to 
setthe uri field of the internal request rec structure to the value of the filename 
field. This flag is just a hack to be able to post-process the output of RewriteRule 
directives by Alias , ScriptAlias , Redirect , etc. directives from other URI-to- 
filename translators. A trivial example to show the semantics: If you want to rewrite 
/abc to /def via the rewriting engine of mod rewrite and then /def to /ghi with 


mod alias : 


RewriteRule ^/abc(.*) /def$1 [PT] 


Alias /def /ghi 


If you omit the Pr flag then mod_rewrite will do its job fine, i.e., it rewrites 

uri-/abc/... tO filename-/def/... asa full API-compliant URI-to-filename translator 
should do. Then mod alias comes and tries to do a URI-to-filename transition which 
will not work. 


Note: You have to use this flag if you want to intermix directives of different 
modules which contain URL-to-filename translators. The typical example is the use 


Of mod alias 和 mod rewrite .. 


' qsappend|Qsa ' (query string append) This flag forces the rewriting engine to append a 
query string part in the substitution string to the existing one instead of replacing it. Use 
this when you want to add more data to the query string via a rewrite rule. 


' redirect|R [=code]' (force redirect) Prefix Substitution with 
http://thishost[:thisport]/ (which makes the new URL a URI) to force a external 
redirection. If no code is given a HTTP response of 302 (MOVED TEMPORARILY) is 
used. If you want to use other response codes in the range 300-400 just specify them 
as a number or use one of the following symbolic names: temp (default), permanent , 
seeother . Use it for rules which should canonicalize the URL and give it back to the 

client, PJAN, translate" /~ "into" /u/ " or always append a slash to /u/ user, etc. 


Note: When you use this flag, make sure that the substitution field is a valid URL! If not, 
you are redirecting to an invalid location! And remember that this flag itself only prefixes 
the URL with http://thishost[:thisport]/ , rewriting continues. Usually you also want 
to stop and do the redirection immediately. To stop the rewriting you also have to 
provide the 'L' flag. 


' skip|s =num' (skip next rule(s)) This flag forces the rewriting engine to skip the next 
num rules in sequence when the current rule matches. Use this to make pseudo if-then- 
else constructs: The last rule of the then-clause becomes skip=n where N is the 
number of rules in the else-clause. (This is not the same as the 'chain|C' flag!) 


' type|T =MIME-type' (force MIME type) Force the MIME-type of the target file to be 

MIME-type. For instance, this can be used to setup the content-type based on some 

conditions. For example, the following snippet allows .php files to be displayed by 
mod php if they are called with the .phps extension: 


RewriteRule 4(.+\.php)s$ $1 [T-application/x-httpd-php-source] 


Never forget that Pattern is applied to a complete URL in per-server configuration files. But 
in per-directory configuration files, the per-directory prefix (which always is the same 
for a specific directory!) is automatically removed for the pattern matching and 
automatically added after the substitution has been done. This feature is essential for 
many sorts of rewriting, because without this prefix stripping you have to match the parent 
directory which is not always possible. 


There is one exception: If a substitution string starts with " nttp:// " then the directory prefix 
will not be added and an external redirect or proxy throughput (if flag P is used!) is forced! 
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To enable the rewriting engine for per-directory configuration files you need to set 


" RewriteEngine On "in these files 和 " options FollowSymLinks "must be enabled. If your 
administrator has disabled override of FollowSymLinks for a user's directory, then you 


cannot use the rewriting engine. This restriction is needed for security reasons. 
Here are all possible substitution combinations and their meanings: 


Inside per-server configuration ( httpd.conf ) for request " GET /somepath/pathinfo 


**Given Rule** **Resulting Substitution** 
A/somepath(.*) otherpath$1 ^ not supported, because invalid! — 
^/somepath(.*) otherpath$1  [R] not supported, because invalid! 
^/somepath(.*) otherpath$1 [P] not supported, because invalid! 
A/somepath(.*) /otherpath$i — 0 — /otherpath/pathinfo ^ 
^/somepath(.*) /otherpath$1 [R] http://thishost/otherpath/pathinfo 
via external redirection 

^/somepath(.*) /otherpath$1 [P] not supported, because silly! 
^/somepath(.*) http://thishost/otherpath$i ^ /otherpath/pathinfo ^ 


^/somepath(.*) http://thishost/otherpath$1 [R] http://thishost/otherpath/pathinfo 
via external redirection 


^/somepath(.*) http://thishost/otherpath$1 [P] not supported, because silly! 


^/somepath(.*) http://otherhost/otherpath$1 http://otherhost/otherpath/pathinfo 
via external redirection 


^/somepath(.*) http://otherhost/otherpath$1 [R] http://otherhost/otherpath/pathinfo 
via external redirection 
(the [R] flag is redundant) 


^/somepath(.*) http://otherhost/otherpath$1 [P] http://otherhost/otherpath/pathinfo 
via internal proxy 


Inside per-directory configuration for /somepath (i.e., file .ntaccess in dir 


/physical/path/to/somepath containing RewriteBase /somepath ) for request 


" GET /somepath/localpath/pathinfo 


**Given Rule** 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


^localpath(.*) 


EEE] 


Example: 


otherpath$1 
otherpath$1 [R] 
otherpath$1 [P] 


/otherpath$1 


/otherpath$1 [R] 


/otherpath$1 [P] 


http://thishost/otherpath$1 


http://thishost/otherpath$1 [R] 


http://thishost/otherpath$1 [P] 


http://otherhost/otherpath$1 


http://otherhost/otherpath$1 [R] 


http://otherhost/otherpath$1 [P] 


We want to rewrite URLs of the form 


/ Language /~ Realname /.../ File 


into 


/u/ Username 


/.../ File . Language 


**Resulting Substitution** 


/somepath/otherpath/pathinfo 


http://thishost/somepath/otherpath/pathin 
via external redirection 


not supported, because silly! 


/otherpath/pathinfo 


http://thishost/otherpath/pathinfo 
via external redirection 


not supported, because silly! 


/otherpath/pathinfo 


http://thishost/otherpath/pathinfo 
via external redirection 


not supported, because silly! 


http://otherhost/otherpath/pathinfo 
via external redirection 


http://otherhost/otherpath/pathinfo 
via external redirection 
(the [R] flag is redundant) 


http://otherhost/otherpath/pathinfo 
via internal proxy 





We take the rewrite mapfile from above and save it under /path/to/file/map.txt . Then we 


only have to add the following lines to the Apache server configuration file: 


RewriteLog /path/to/file/rewrite.log 


RewriteMap real-to-user 
RewriteRule ‘4/([4/]+)/~([4/]+)/(.*)$ 


txt:/path/to/file/map. txt 
/u/${real-to-user :$2|nobody}/$3.$1 


Apache 模 块 mod_setenvif 


说 明 根据 客户 端 请 求 关 字段 设置 环境 变量 
状态 基本 (B) 
模块 名 setenvif module 
源 文件 mod setenvif.c 


zB 
BE 


mod_setenvif 模块 允许 根据 请 求 的 不 同方 面 匹配 指定 的 正则 表达 式 来 设置 环境 变量 。 这 些 环 
境 变量 可 由 服务 器 的 其 他 部 分 使 用 。 


指令 按照 他 们 在 配置 文件 中 出 现 的 顺序 生效 。 所 以 可 以 使 用 更 多 的 复合 序列 ， 正 如 下 例 所 
示 ， 如 果 浏 览 器 是 mozilla 而 非 MSIE 则 会 设置 netscape o 


BrowserMatch ^Mozilla netscape 


BrowserMatch MSIE !netscape 


BrowserMatch 指令 





基于 User-Agent 头 有 条 件 地 设置 环境 变量 

E BrowserMatch _regex [!]env-variable [- value ] [[!] env-variable [- value ]] ... 
f 

VF 

用 Server config, virtual host, directory, .htaccess 

域 


fe 
=  Filelnfo 
项 


状 

A 基本 (B) 

模 mod setenvif 
ip = 


BrowserMatch 只 是 setEnvIf 的 一 种 特殊 情况 ， 基 于 User-Agent 头 有 条 件 地 设置 环境 变量 。 
下 面 的 两 行 具有 相同 的 效果 : 


BrowserMatchNoCase Robot is a robot 


SetEnvIfNoCase User-Agent Robot is a robot 


更 多 的 例子 : 


BrowserMatch ^Mozilla forms jpeg=yes browser=netscape 
BrowserMatch "AMozilla/[2-3]" tables agif frames javascript 


BrowserMatch MSIE ! javascript 


BrowserMatchNoCase 1&4 


- 基于 不 区 分 大 小 写 的 User-Agent 头 有 条 件 地 设置 环境 变量 
iR 


BrowserMatchNoCase _regex [!]env-variable [- value ] [[!] env-variable [- value ]] 





4. 


server config, virtual host, directory, .htaccess 


ib H N 


Filelnfo 


= BH dd 


基本 (B) 
mod_setenvif 


BrowserMatchNoCase 等 同 于 BrowserMatch ， 仅 仅 是 进行 不 区 分 大 小 写 的 匹配 。 例 如 : 


BrowserMatchNoCase mac platform-macintosh 


BrowserMatchNoCase win platform-windows 


BrowserMatch 和 BrowserMatchNoCase 只 是 SetEnvIf 和 SetEnvIfNoCase 的 一 种 特殊 情 ) o F 


面 的 两 行 具有 相同 的 效果 : 


BrowserMatchNoCase Robot is a robot 


SetEnvIfNoCase User-Agent Robot is a robot 


SetEnvIf #4 


根据 客户 端 请 求 属性 设置 环境 变量 


SetEnvIf _attribute regex [!]env-variable [- value ] [[!] env-variable [- value ]] 





server config, virtual host, directory, .htaccess 


Filelnfo 


基本 (B) 


mod setenvif 


setEnvIf JH BARRES P im] KI ESRB ERES d €. H-TSRMattributew ii F9) — Fh 3 


别 之 一 


1. 一 个 HTTP 请 求 头 域 (参见 RFC2616) ; 例如 : Host , User-Agent , Referer , 
Accept-Language > 可 以 用 一 个 正则 表达 式 来 进行 匹配 。 
2， 下 列 请 求 属 性 之 一 : 


o 


o 


o 


o 


o 


Remote Host 远程 主机 名 ( 若 可 用 ) 

Remote Addr 远程 主机 IP 地 址 

Server Addr 接收 到 请 求 的 服务 器 IP 地 址 (2.0.43 及 以 后 版 本 ) 

Request Method 所 用 的 请 求 方法 ( cet ，PosT SS) 

Request Protocol 请 求 所 使 用 的 协议 及 其 版 本 ("HTTP/0.9", "HTTP/1.0", 
"HTTP/1.1" 等 ) 

Request URI. 在 HTTP 请 求 行 中 请 求 的 资源 (通常 是 URL 中 去 除 协 议 、 主 机 以 及 查询 
字符 串 后 剩余 的 部 分 )。 


3， 列 出 的 与 该 请 求 关联 的 环境 变量 名 字 中 的 一 个 。 这 将 允许 setEnvIf 指令 基于 预先 匹配 的 
结果 进行 测试 。 只 有 那些 由 较 早 的 setEnvIf[Nocase] 指令 定义 的 环境 变量 才 可 以 按照 这 
种 方式 测试 。" 较 早 的 "意思 是 它们 在 更 上 层 的 作用 域 (比如 全 局 范围 ) 中 被 定义 或 者 在 同一 
作用 域 中 较 早 出 现 。 只 有 在 请 求 的 属性 未 能 得 到 匹配 并 且 attribute 没 有 使 用 正则 表达 式 的 
时 候 ， 环 境 变 量 才 会 被 考虑 。 


第 二 个 参数 regex 是 一 个 Perl 兼 容 的 正则 表达 式 。 如 果 regex 是 根据 attribute 进 行 匹 配 的 ， 那 么 
剩余 的 参数 将 被 评估 。 剩 余 的 参数 给 出 了 需要 设置 的 变量 名 及 其 可 选 的 值 。 格 式 如 下 : 


1. _varname_ 


2. !_varname_ 


3.  varname = value. 


第 一 个 格式 ， 环 境 变量 varname 的 值 将 设 为 "1 人"。 第 二 个 格式 将 删除 给 定 的 变 

量 _varname_ ( 若 存 在 )。 第 三 个 格式 将 为 环境 变量  varname ”设置 _value 的 字面 值 。 从 
2.0.51 版 开始 ，Apache 能 够 识别 value 中 出 现 的 $1 .. s9 ， 并 将 其 替换 为 regex 中 对 应 的 使 用 
括号 括 起 来 的 子 模式 。 





示例 : 


SetEnvIf Request URI "\.gif$" object is image-gif 
SetEnvIf Request URI "\.jpg$" object is image-jpg 


SetEnvIf Request URI "N.xbm$" object is image-xbm 
SetEnvIf Referer wwwN.mydomainN.com intra site referral 
SetEnvIf object is image xbm XBIT PROCESSING-1 
SetEnvIf ^TS* ^[a-z].* HAVE TS 


前 面 的 三 个 将 会 设置 object is image 环境 变量 (如 果 请 求 的 是 图 片 )。 第 四 个 将 会 设 
iB intra site referral 环境 变量 (如 果 Referer 头 表明 来 自 于 www.mydomain.com )。 


最 后 一 个 将 会 设置 环境 变量 HAvE_Ts (如 果 包 含 任何 以 "TS" 开 始 的 请 求 头 ， 并 且 该 请 求 头 的 值 
是 以 小 宇 字母 [a-z] 开 头 的 )。 


EA 


参见 


e Apache 环 境 变 量 ， 以 获得 更 多 例子 。 


SetEnvifNoCase 指 今 


说 根据 大 小 写 无 关 的 客户 端 请 求 属性 设置 环境 变量 


SetEnvIfNoCase attribute regex [!]env-variable [- value ] [[!] env-variable [- va 





VF 


server config, virtual host, directory, .htaccess 


i dB 


Filelnfo 


= BH nd 


eh SE 


基本 (B) 


yii 


mod setenvif 


X 


SetEnvIfNocase 等 同 于 setEnvif ， 仅 仅 是 进行 不 区 分 大 小 写 的 匹配 。 例 如 : 


SetEnvIfNoCase Host ApacheN.Org site-apache 


这 会 将 环境 变量 site RIA" apache "( 如 果 " Host: "ARAE 
&" Apache.org ". " apache.org "等 大 小 写 变 体 )。 


Apache 模 块 mod so 


说 明 允许 运行 时 加 载 DSO 模 块 
状态 扩展 (E) 
模块 名 so_module 
源 文 件 mod_so.c 
兼容 性 在 Windows 上 这 是 一 个 基本 模块 (始终 包含 ) 


概述 


该 模块 在 支持 动态 链接 机 制 的 操作 系统 上 可 以 用 来 在 Apache 和 启动 和 重启 时 加 载 DSO 模 块 ， 而 
不 用 重新 编译 。 


在 Unix 上 ， 被 加 载 的 可 执行 代码 通常 来 自 于 共享 对 象 文 件 (一 般 以 .so 为 扩展 名 )， 在 
Windows 上 则 为 .so 或 .dii 扩展 名 。 


fk He 
F3 


Di 


用 于 Apache1.3 的 模块 不 能 直接 用 于 Apache2.0 。 


为 Windows 创 建 可 加 载 模块 


注意 

从 Apache1.3.15 开 始 ，Windows 上 的 模块 名 规则 发 生 了 变化 ， 现 在 使 用 mod_foo.so 格 式 的 名 
字 。 

Apache 模 块 的 API 对 于 Unix 和 Windows 是 一 样 的 。 许 多 模块 在 这 两 个 平台 间 移 植 几乎 不 需要 
什么 修改 ， 除 非 那些 依赖 于 Unix 特 定 属性 而 Windows 没 有 提供 的 模块 。 


如 果 一 个 模块 可 用 ， 那 么 有 两 种 方法 使 用 它 。 在 Unix 上 ， 可 以 被 静态 编译 进 服务 器 。 因 为 用 
于 Windows 的 Apache 并 没有 相应 于 Unix 下 的 configure 编译 配置 程序 ， 模 块 的 源 文件 必须 被 
加 进 ApacheCore 项 目 文件 ， 并 且 它 的 符号 (symbols) 必 须 被 添加 到 os\win32\modules.c 文件 。 


第 二 种 方法 是 编译 为 一 个 动态 链接 库 (DLL)， 以 便 在 运行 期 间 使 用 LoadModule 指令 加 载 。 这些 
模块 DLL 在 Apache 安 装 期 间 就 已 经 安装 好 了 ， 不 需要 你 自己 去 编译 。 


为 了 将 模块 编译 为 DLL， 需 要 对 模块 的 源 文件 做 一 个 小 小 的 修改 : 模块 记录 (module record; 
须 从 DLL 导出 ( 稍 后 将 会 创建 ， 见 下 )。 为 了 达到 这 个 目的 ， 请 将 AP_MODULE_DECLARE_DATA (在 
Apache 头 文件 中 定义 的 ) 添 加 到 你 的 模块 记录 (module record) 定 义 中 。 比 如 ， 如 果 你 的 模块 
有 : 


module foo module; 


将 上 述 内 容 蔡 换 为 : 

module AP MODULE DECLARE DATA foo module; 
注意 ， 这 仅 在 Windows 上 有 效 ， 因 此 该 模块 可 以 不 加 修改 的 直接 在 Unix 上 使 用 。 另 外 ， 如 果 
你 对 .DEF 文件 很 熟悉 ， 你 也 可 以 使 用 它 代 蔡 前 面 的 方法 导出 该 模块 。 


要 创建 一 个 包含 该 模块 的 DLL 文 件 ， 你 还 必须 将 它 连 接 到 在 编译 libhttpd.dll 共 享 库 时 创建 的 
libhttpd.lib 导 出 库 。 你 还 可 能 需要 修改 编译 器 设置 以 确保 Apache 头 文件 被 正确 的 加 载 了 。 这 些 
库 位 于 服务 器 根 目 录 下 的 "modules" 目 录 中 。 最 好 是 从 中 抓 出 一 个 已 经 存在 的 模块 .dsp 文 件 来 
看 看 以 确保 编译 环境 配置 无 误 ， 或 者 按照 .dsp 文 检查 编译 器 和 连接 器 的 选项 也 可 。 


这 样 将 会 为 你 的 模块 创建 一 个 DLL 版 本 。 只 要 将 它 放置 到 modules 目录 下 ， 并 使 
用 LoadModule 旨 邻 加载 即 可 。 


LoadFile 指令 


说 明 加 载 已 命名 的 目标 文件 或 库 
语法 LoadFile filename [ filename ] ... 
作用 域 server config 
状态 扩展 (E) 
模块 mod so 


该 指令 用 于 在 服务 器 启动 或 者 重启 时 加 载 已 命名 目标 文件 或 库 ， 以 用 于 加 载 需要 被 某 些 模块 
使 用 的 人 额外 代码 。Fiename 可 以 是 一 个 绝对 路 径 或 者 相对 于 serverRoot 的 相对 路 径 。 


例如 : 


LoadFile libexec/libxmlparse.so 


LoadModule 指令 


说 明 加 载 目 标 文件 或 库 ， 并 将 其 添加 到 活动 模块 列表 


语法 LoadModule _module filename 
作用 域 server config 

状态 扩展 (E) 

模块 mod_so 


该 指令 加 载 目 标 文 件 或 库 jenarmme 并 将 模块 结构 名 /moaule 添 加 到 活动 模块 列表 。/moaule 就 是 
源 代码 文件 中 用 于 拼写 module 的 外 部 变量 名 ， 并 作为 模块 标识 符 (Module ldentifier) 列 在 模块 
文档 中 。 例 如 : 


LoadModule status module modules/mod status.so 


加 载 了 位 于 serverRoot 下 模块 目录 中 指定 的 模块 。 


Apache à mod speling 


说 明 自动 纠正 URL 中 的 拼写 错误 
状态 扩展 (E) 
模块 名 speling_module 
源 文件 mod speling.c 


概述 


Requests to documents sometimes cannot be served by the core apache server because 
the request was misspelled or miscapitalized. This module addresses this problem by trying 
to find a matching document, even after all other modules gave up. It does its work by 
comparing each document name in the requested directory against the requested document 
name without regard to case, and allowing up to one misspelling (character insertion / 
omission / transposition or wrong character). A list is built with all document names which 
were matched using this strategy. 


If, after scanning the directory, 


e no matching document was found, Apache will proceed as usual and return a 
"document not found" error. 

e only one document is found that "almost" matches the request, then it is returned in the 
form of a redirection response. 

e more than one document with a close match was found, then the list of the matches is 
returned to the client, and the client can select the correct candidate. 


CheckSpelling #83 


Enables the spelling module 


CheckSpelling on&#124; of f 


i CheckSpelling Off 


server config, virtual host, directory, .htaccess 


ignc 


Options 


= BH nd 


扩展 (E) 


i SE 


yit 


mod speling 


x CheckSpelling was available as a separately available module for Apache 1.1, but 

容 was limited to miscapitalizations. As of Apache 1.3, itis part of the Apache 

ME distribution. Prior to Apache 1.3.2, the checkspelling directive was only available 
in the "server" and "virtual host" contexts. 


This directive enables or disables the spelling module. When enabled, keep in mind that 


e the directory scan which is necessary for the spelling correction will have an impact on 
the server's performance when many spelling corrections have to be performed at the 
same time. 

e the document trees should not contain sensitive files which could be matched 
inadvertently by a spelling "correction". 

e the module is unable to correct misspelled user names (as in 

http: //my.host/-apahce/ ), just file names or directory names. 
e spelling corrections apply strictly to existing files, so a request for the 
«Location /status> may get incorrectly treated as the negotiated file" /stats.hntml ". 


mod speling should not be enabled in DAV enabled directories, because it will try to "spell 
fix" newly created resource names against existing filenames, e.g., when trying to upload a 
new document doc43.html it might redirect to an existing document doc34.html , which is 
not what was intended. 


Apache 模 块 mod ssl 


说 明 使 用 安全 套 接 字 层 (SSL) 和 传输 层 安 全 (TLS) 协 议 实 现 高 强度 加 密 传输 
状态 扩展 (E) 
模块 名 ss| module 
源 文件 mod ssl.c 


概述 


This module provides SSL v2/v3 and TLS v1 support for the Apache HTTP Server. It was 
contributed by Ralf S. Engeschall based on his mod ssl project and originally derived from 
work by Ben Laurie. 


This module relies on OpenSSL to provide the cryptography engine. 


Further details, discussion, and examples are provided in the SSL documentation. 


Environment Variables 


This module provides a lot of SSL information as additional environment variables to the SSI 
and CGI namespace. The generated variables are listed in the table below. For backward 
compatibility the information can be made available under different names, too. Look in the 
Compatibility chapter for details on the compatibility variables. 


ger i Mi Description: 
Hs flag HTTPS is being used. 
aT sting (SS v SSLV3, TLS) 
SSL SESSION ID string nu hex-encoded SSL session 
SOLEC TENER string The cipher specification name 
SSL_CIPHER_EXPORT string — if cipher is an export 
SSL CIPHER USEKEYSIZE imber Number of cipher bits (actually 

used) 

SSL_CIPHER_ALGKEYSIZE number Number of cipher bits 


(possible) 


SSL COMPRESS METHOD 


SSL VERSION INTERFACE 


SSL VERSION LIBRARY 


SSL CLIENT M VERSION 


SSL CLIENT M SERIAL 


SSL CLIENT S DN 


SSL CLIENT S DN. X509 


SSL CLIENT I DN 


SSL CLIENT I DN X509 


SSL CLIENT V START 


SSL CLIENT V END 


SSL CLIENT V REMAIN 


SSL CLIENT A SIG 


SSL CLIENT A KEY 


SSL CLIENT CERT 


SSL CLIENT CERT CHAIN N 





SSE CLIENT VERIFY 


SSL SERVER M VERSION 


SSL SERVER M SERIAL 


SSL SERVER S DN 


SSL SERVER S DN X509 


string 
string 


string 


string 


string 


string 


string 
string 


string 


string 


string 


string 


string 


string 
string 


string 


string 


string 


string 


string 


string 


SSL compression method 
negotiated 


The mod ssl program version 


The OpenSSL program 
version 


The version of the client 
certificate 


The serial of the client 
certificate 


Subject DN in client's 
certificate 


Component of client's Subject 
DN 


Issuer DN of client's certificate 


Component of client's Issuer 
DN 


Validity of client's certificate 
(start time) 


Validity of client's certificate 
(end time) 


Number of days until client's 
certificate expires 


Algorithm used for the 
signature of client's certificate 


Algorithm used for the public 
key of client's certificate 


PEM-encoded client certificate 


PEM-encoded certificates in 
client certificate chain 


NONE , SUCCESS , 
GENEROUS EX FAILED: reason 


The version of the server 
certificate 


The serial of the server 
certificate 


Subject DN in server's 
certificate 


Component of server's Subject 
DN 


Issuer DN of server's 


SSL SERVER I DN i 
7 zx) simpy certificate 
SSL SERVER I DN X509 string eo nen of server's Issuer 
SSL_SERVER_V_START string a a PUE certificate 
SSL SERVER V. END string end 3 certificate 
SSL SERVER A SIG string Algorithm used for the B 
signature of server's certificate 
SSL_SERVER_A_KEY ET Algorithm used for the public 
7 m 9 key of server's certificate 
SSL SERVER CERT string PEM-encoded server 


certificate 


x509 specifies a component of an X.509 DN; one of c,sr,L,0,0U, CN, T, I, 6, S, D, UID, Email . In 
Apache 2.1 and later, x509 may also include a numeric n suffix. If the DN in question 
contains multiple attributes of the same name, this suffix is used as an index to select a 
particular attribute. For example, where the server certificate subject DN included two OU 
fields, ssi sERvER s DN ou e 和 ssL sERVER s DN ou 1 could be used to reference each. 








SSL CLIENT V REMAIN is only available in version 2.1 and later. 


Custom Log Formats 


When mod ssi is built into Apache or at least loaded (under DSO situation) additional 

functions exist for the Custom Log Format of mod 1og config . First there is an additional 
" «( varname 3x " eXtension format function which can be used to expand any variables 
provided by any module, especially those provided by mod ssl which can you find in the 


above table. 


For backward compatibility there is additionally a special" %{ name 3c " cryptography 
format function provided. Information about this function is provided in the Compatibility 
chapter. 


示例 


CustomLog logs/ssl request log \ 
"%t 96h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" 96b" 


SSLCACertificateFile 指令 


说 明 File of concatenated PEM-encoded CA Certificates for Client Auth 
语法 SSLCACertificateFile _file-path_ 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod ssl 
This directive sets the all-in-one file where you can assemble the Certificates of Certification 
Authorities (CA) whose clients you deal with. These are used for Client Authentication. Such 


a file is simply the concatenation of the various PEM-encoded Certificate files, in order of 
preference. This can be used alternatively and/or additionally to sstcacertificatePath . 


示例 


SSLCACertificateFile /usr/local/apache2/conf/ssl.crt/ca-bundle-client.crt 


SSLCACertificatePath 指令 


说 明 Directory of PEM-encoded CA Certificates for Client Auth 
语法 SSLCACertificatePath _directory-path_ 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod ssl 


This directive sets the directory where you keep the Certificates of Certification Authorities 
(CAs) whose clients you deal with. These are used to verify the client certificate on Client 
Authentication. 


The files in this directory have to be PEM-encoded and are accessed through hash 
filenames. So usually you can't just place the Certificate files there: you also have to create 
symbolic links named hash-value .n . And you should always make sure this directory 
contains the appropriate symbolic links. Use the makefile which comes with mod ssl to 
accomplish this task. 


示例 


SSLCACertificatePath /usr/local/apache2/conf/ssl.crt/ 


SSLCADNRequestFile 184 


File of concatenated PEM-encoded CA Certificates for defining 


说 明 

acceptable CA names 
语法 SSLCADNRequestFile _file-path_ 
Server config, virtual host 


状态 扩展 (E) 


模块  mod_ssl 


When a client certificate is requested by modssl, a list of. acceptable Certificate Authority 
names is sent to the client in the SSL handshake. These CA names can be used by the 
client to select an appropriate client certificate out of those it has available. 


If neither of the directives ssLCADNRequestPath 或 SSLCADNRequestFile are given, then the set 
of acceptable CA names sent to the client is the names of all the CA certificates given by the 
SSLCACertificateFile 和 sstCACertificatePath directives; in other words, the names of the 

CAs which will actually be used to verify the client certificate. 


In some circumstances, it is useful to be able to send a set of acceptable CA names which 
differs from the actual CAs used to verify the client certificate - for example, if the client 
certificates are signed by intermediate CAs. In such cases, SSLCADNRequestPath and/or 
SSLCADNRequestFile can be used; the acceptable CA names are then taken from the 
complete set of certificates in the directory and/or file specified by this pair of directives. 


SSLCADNRequestFile must specify an all-in-one file containing a concatenation of PEM- 
encoded CA certificates. 


示例 


SSLCADNRequestFile /usr/local/apache2/conf/ca-names.crt 


SSLCADNRequestPath 184: 


Directory of PEM-encoded CA Certificates for defining acceptable CA 


说 明 

names 
语法 SSLCADNRequestPath  directory-path 
b server config, virtual host 


状态 扩展 (E) 
模块 mod ssl 
This optional directive can be used to specify the set of acceptable CA names which will be 


sent to the client when a client certificate is requested. See the ssLCADNRequestFile directive 
for more details. 


The files in this directory have to be PEM-encoded and are accessed through hash 
filenames. So usually you can't just place the Certificate files there: you also have to create 
symbolic links named hash-value .N . And you should always make sure this directory 
contains the appropriate symbolic links. Use the makefile which comes with mod ssl to 
accomplish this task. 


示例 


SSLCADNRequestPath /usr/local/apache2/conf/ca-names.crt/ 


SSLCARevocationFile 184 


3€ BB File of concatenated PEM-encoded CA CRLs for Client Auth 

语法 SSLCARevocationFile  file-path 

作用 域 server config, virtual host 

状态 扩展 (E) 

模块 mod ssl 
This directive sets the all-in-one file where you can assemble the Certificate Revocation 
Lists (CRL) of Certification Authorities (CA) whose clients you deal with. These are used for 
Client Authentication. Such a file is simply the concatenation of the various PEM-encoded 


CRL files, in order of preference. This can be used alternatively and/or additionally to 


SSLCARevocationPath 


示例 


SSLCARevocationFile /usr/local/apache2/conf/ssl.crl/ca-bundle-client.crl 


SSLCARevocationPath 1847 


说 明 Directory of PEM-encoded CA CRLs for Client Auth 
语法 SSLCARevocationPath _directory-path_ 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod ssl 


This directive sets the directory where you keep the Certificate Revocation Lists (CRL) of 
Certification Authorities (CAs) whose clients you deal with. These are used to revoke the 
client certificate on Client Authentication. 


The files in this directory have to be PEM-encoded and are accessed through hash 
filenames. So usually you have not only to place the CRL files there. Additionally you have 
to create symbolic links named hash-value .rN . And you should always make sure this 
directory contains the appropriate symbolic links. Use the makefile which comes with 

mod ss1 to accomplish this task. 


示例 


SSLCARevocationPath /usr/local/apache2/conf/ssl.crl/ 


SSLCertificateChainFile 指令 


说 明 File of PEM-encoded Server CA Certificates 
语法 SSLCertificateChainFile _file-path_ 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod ssl 


This directive sets the optional all-in-one file where you can assemble the certificates of 
Certification Authorities (CA) which form the certificate chain of the server certificate. This 
starts with the issuing CA certificate of of the server certificate and can range up to the root 
CA certificate. Such a file is simply the concatenation of the various PEM-encoded CA 
Certificate files, usually in certificate chain order. 


This should be used alternatively and/or additionally to sstcacertificatePath for explicitly 
constructing the server certificate chain which is sent to the browser in addition to the server 
certificate. It is especially useful to avoid conflicts with CA certificates when using client 
authentication. Because although placing a CA certificate of the server certificate chain into 

SSLCACertificatePath has the same effect for the certificate chain construction, it has the 
side-effect that client certificates issued by this same CA certificate are also accepted on 
client authentication. That's usually not one expect. 


But be careful: Providing the certificate chain works only if you are using a single (either RSA 
或 DSA) based server certificate. If you are using a coupled RSA+DSA certificate pair, this 
will work only if actually both certificates use the same certificate chain. Else the browsers 
will be confused in this situation. 


示例 


SSLCertificateChainFile /usr/local/apache2/conf/ssl.crt/ca.crt 


SSLCertificateFile #4 


说 明 Server PEM-encoded X.509 Certificate file 
语法 SSLCertificateFile _file-path_ 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod ssl 


This directive points to the PEM-encoded Certificate file for the server and optionally also to 
the corresponding RSA or DSA Private Key file for it (contained in the same file). If the 
contained Private Key is encrypted the Pass Phrase dialog is forced at startup time. This 
directive can be used up to two times (referencing different filenames) when both a RSA and 
a DSA based server certificate is used in parallel. 


示例 


SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt 


SSLCertificateKeyFile 指令 


说 明 Server PEM-encoded Private Key file 


语法 SSLCertificateKeyFile _file-path_ 
作用 域 server config, virtual host 

状态 扩展 (E) 

模块 mod ssl 


This directive points to the PEM-encoded Private Key file for the server. If the Private Key is 
not combined with the Certificate in the ssLcertificateFile , use this additional directive to 
point to the file with the stand-alone Private Key. When sstcertificateFile is used and the 
file contains both the Certificate and the Private Key this directive need not be used. But we 
strongly discourage this practice. Instead we recommend you to separate the Certificate and 
the Private Key. If the contained Private Key is encrypted, the Pass Phrase dialog is forced 
at startup time. This directive can be used up to two times (referencing different filenames) 
when both a RSA and a DSA based private key is used in parallel. 


示例 


SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key 


SSLCipherSuite 1E 


说 明 Cipher Suite available for negotiation in SSL handshake 
语法 SSLCipherSuite  cipher-spec. 
默认 值 SSLCipherSuite ALL: !ADH:RC4+RSA: +HIGH : +MEDIUM: +LOW:+SSLv2:+EXP 
作用 域 server config, virtual host, directory, .htaccess 


Buc AuthConfig 
状态 扩展 (E) 


模块 mod ssl 


This complex directive uses a colon-separated cipher-spec string consisting of OpenSSL 
cipher specifications to configure the Cipher Suite the client is permitted to negotiate in the 
SSL handshake phase. Notice that this directive can be used both in per-server and per- 
directory context. In per-server context it applies to the standard SSL handshake when a 
connection is established. In per-directory context it forces a SSL renegotation with the 
reconfigured Cipher Suite after the HTTP request was read but before the HTTP response is 
sent. 


An SSL cipher specification in cipher-spec is composed of 4 major attributes plus a few extra 
minor ones: 


e Key Exchange Algorithm: RSA or Diffie-Hellman variants. 

e Authentication Algorithm: RSA, Diffie-Hellman, DSS or none. 
Cipher/Encryption Algorithm: DES, Triple-DES, RC4, RC2, IDEA or none. 
e MAC Digest Algorithm: MD5, SHA or SHA1. 


An SSL cipher can also be an export cipher and is either a SSLv2 or SSLv3/TLSv1 cipher 
(here TLSv1 is equivalent to SSLv3). To specify which ciphers to use, one can either specify 
all the Ciphers, one at a time, or use aliases to specify the preference and order for the 
ciphers (see Table 1). 


«a namez"table1" class="pcalibre1 


pcalibre">Tag</a> meceupuer 
Key Exchange Algorithm: 
kRSA RSA key exchange 
kDHr Diffie-Hellman key exchange with RSA key 
kDHd Diffie-Hellman key exchange with DSA key 
FEST Ephemeral (temp.key) Diffie-Hellman key 


Authentication Algorithm: 


exchange (no cert) 


aNULL No authentication 

aRSA RSA authentication 

aDSS DSS authentication 

aDH Diffie-Hellman authentication 


Cipher Encoding Algorithm: 


eNULL No encoding 
DES DES encoding 
3DES Triple-DES encoding 
RC4 RC4 encoding 
RC2 RC2 encoding 
IDEA IDEA encoding 
MAC Digest Algorithm: 
MD5 MD5 hash function 
SHA1 SHA1 hash function 


SHA SHA hash function 


Aliases: 

SSLv2 all SSL version 2.0 ciphers 

SSLv3 all SSL version 3.0 ciphers 

TLSv1 all TLS version 1.0 ciphers 

EXP all export ciphers 

EXPORT40 all 40-bit export ciphers only 

EXPORT56 all 56-bit export ciphers only 

y all low strength ciphers (no export, single 
DES) 

MEDIUM all ciphers with 128 bit encryption 

HIGH all ciphers using Triple-DES 

RSA all ciphers using RSA key exchange 

BH all ciphers using Diffie-Hellman key 
exchange 

EDH all ciphers using Ephemeral Diffie-Hellman 
key exchange 

nem all ciphers using Anonymous Diffie- 
Hellman key exchange 

DSS all ciphers using DSS authentication 

NULL all ciphers using no encryption 


Now where this becomes interesting is that these can be put together to specify the order 
and ciphers you Wish to use. To speed this up there are also aliases 

( SSLv2, SSLv3, TLSvi, EXP, LOW, MEDIUM, HIGH ) for certain groups of ciphers. These tags can 
be joined together with prefixes to form the cipher-spec. Available prefixes are: 


e none: add cipher to list 

e +: add ciphers to list and pull them to current location in list 

e - :remove cipher from list (can be added later again) 

e : :kill cipher from list completely (can not be added later again) 


A simpler way to look at all of this is to use the " openss1 ciphers -v "Command which 
provides a nice way to successively create the correct cipher-spec string. The default cipher- 
spec string is " ALL: !ADH:RC4+RSA:+HIGH: +MEDIUM: +LOW: +SSLv2:+ExP " which means the 
following: first, remove from consideration any ciphers that do not authenticate, i.e. for SSL 


only the Anonymous Diffie-Hellman ciphers. Next, use ciphers using RC4 and RSA. Next 
include the high, medium and then the low security ciphers. Finally pull all SSLv2 and export 
ciphers to the end of the list. 


$ openssl ciphers -v 'ALL: !ADH:RC4+RSA:+HIGH:+MEDIUM: +LOW:+SSLv2:+EXP' 


NULL-SHA SSLv3 Kx=RSA Au-RSA Enc=None Mac=SHA1 
NULL-MD5 SSLv3 Kx=RSA Au-RSA Enc=None Mac=MD5 
EDH-RSA-DES-CBC3-SHA SSLv3 KXx-DH Au-RSA Enc=3DES(168) Mac=SHA1 
EXP-RC4-MD5 SSLv3 Kx=RSA(512) Au-RSA Enc=RC4(40) Mac=MD5 export 
EXP-RC2-CBC-MD5 SSLv2 Kx-RSA(512) Au-RSA Enc=RC2(40) Mac=MD5 export 
EXP-RC4-MD5 SSLv2 Kx=RSA(512) Au-RSA Enc=RC4(40) Mac=MD5 export 


The complete list of particular RSA & DH ciphers for SSL is given in Table 2. 


示例 


SSLCipherSuite RSA: !EXP: !NULL:+HIGH:+MEDIUM: -LOW 


<a name="table2" 
class="pcalibre1 


pcalibre"»Cipher- Protocol Key Ex. Auth. Enc. MAC 
Tag</a> 
RSA Ciphers: 

DES-CBC3-SHA SSLv3 RSA RSA 3DES(168)  SHA1 
DES-CBC3-MD5 SSLv2 RSA RSA 3DES(168) | MD5 
IDEA-CBC-SHA SSLv3 RSA RSA IDEA(128) SHA1 
RC4-SHA SSLv3 RSA RSA RC4(128) SHA1 
RC4-MD5 SSLv3 RSA RSA RC4(128) MD5 
IDEA-CBC-MD5 SSLv2 RSA RSA IDEA(128) MD5 
RC2-CBC-MD5 SSLv2 RSA RSA RC2(128) MD5 
RC4-MDS SSLv2 RSA RSA RC4(128) MD5 
DES -CBC-SHA SSLv3 RSA RSA DES(56) SHA1 
RC4-64-MDS SSLv2 RSA RSA RC4(64) MD5 
DES -CBC-MD5 SSLv2 RSA RSA DES(56) MD5 
EXP -DES-CBC-SHA SSLv3 RSA(512) | RSA DES(40) SHA1 
EXP - RC2- CBC -MD5 SSLv3 RSA(512) RSA RC2(40) MD5 
EXP -RC4-MD5 SSLv3 RSA(512) | RSA RC4(40) MD5 
EXP - RC2- CBC -MD5 SSLv2 RSA(512) RSA RC2(40) MD5 


EXP -RC4-MD5 SSLv2 RSA(512) RSA RC4(40) MD5 

NULL-SHA SSLv3 RSA RSA None SHA1 

NULL-MDS SSLv3 RSA RSA None MD5 
Diffie-Hellman Ciphers: 


ADH - DES- CBC3 - SHA SSLv3 DH None 3DES(168)  SHA1 
ADH- DES- CBC- SHA SSLv3 DH None  DES(56) SHA1 
ADH - RC4 -MD5 SSLv3 DH None RC4(128) MD5 
EDH-RSA- DES - CBC3 -SHA SSLv3 DH RSA 3DES(168)  SHA1 
EDH-DSS-DES-CBC3-SHA SSLv3 DH DSS 3DES(168) = SHA1 
EDH-RSA-DES-CBC-SHA SSLv3 DH RSA DES(56) SHA1 
EDH-DSS-DES-CBC-SHA SSLv3 DH DSS DES(56) SHA1 
EXP -EDH- RSA- DES- CBC -SHA SSLv3 DH(512) RSA DES(40) SHA1 
EXP -EDH- DSS - DES- CBC -SHA SSLv3 DH(512) DSS DES(40) SHA1 
EXP -ADH - DES - CBC- SHA SSLv3 DH(512) None | DES(40) SHA1 
EXP -ADH - RC4- MD5 SSLv3 DH(512) None | RC4(40) MD5 


SSLCryptoDevice 1&4: 


3€ BB Enable use of a cryptographic hardware accelerator 
语法 SSLCryptoDevice engine. 
默认 值 SSLCryptoDevice builtin 


作用 域 server config 


TK A 扩展 (E) 
模块 mod ssl 
兼容 性 Available if mod. ssl is built using -DSSL_ENGINE_EXPERIMENTAL 


This directive enables use of a cryptographic hardware accelerator board to offload some of 
the SSL processing overhead. This directive can only be used if the SSL toolkit is built with 
"engine" support; OpenSSL 0.9.7 and later releases have "engine" support by default, the 
separate "-engine" releases of OpenSSL 0.9.6 must be used. 


To discover which engine names are supported, run the command " openssl engine ". 


示例 


# For a Broadcom accelerator: 


SSLCryptoDevice ubsec 


SSLEngine 184: 


说 明 SSL Engine Operation Switch 
语法 SSLEngine on&#124; of fa#124; optional 
默认 值 SSLEngine off 
VF FA server config, virtual host 
TK 扩展 (E) 
模块 mod ssl 


This directive toggles the usage of the SSL/TLS Protocol Engine. This is usually used inside 
a «virtualHost» Section to enable SSL/TLS for a particular virtual host. By default the 
SSL/TLS Protocol Engine is disabled for both the main server and all configured virtual 
hosts. 


示例 


«VirtualHost default :443> 


SSLEngine on 
</VirtualHost> 


In Apache 2.1 and later, SSLEngine can be set to optional . This enables support for RFC 
2817, Upgrading to TLS Within HTTP/1.1. At this time no web browsers support RFC 2817. 


SSLHonorCipherOrder 18 4 


说 明 Option to prefer the server's cipher preference order 
语法 SSLHonorCiperOrder flag. 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod ssl 


兼容 性 仅 在 Apache 2.1 and later, if using OpenSSL 0.9.7 or later 


When choosing a cipher during an SSLv3 or TLSv1 handshake, normally the client's 
preference is used. If this directive is enabled, the server's preference will be used instead. 


示例 


SSLHonorCipherOrder on 


SSLMutex #84 


说 明 Semaphore for internal mutual exclusion of operations 
语法 ssLMutex type. 
默认 值 SSLMutex none 


作用 域 server config 
状态 扩展 (E) 


模块 mod ssl 


This configures the SSL engine's semaphore (aka. lock) which is used for mutual exclusion 
of operations which have to be done in a synchronized way between the pre-forked Apache 

server processes. This directive can only be used in the global server context because it's 

only useful to have one global mutex. This directive is designed to closely match the 
AcceptMutex directive. 


The following Mutex types are available: 
* none | no 


This is the default where no Mutex is used at all. Use it at your own risk. But because 
currently the Mutex is mainly used for synchronizing write access to the SSL Session 
Cache you can live without it as long as you accept a sometimes garbled Session 
Cache. So it's not recommended to leave this the default. Instead configure a real 
Mutex. 


*  posixsem 


This is an elegant Mutex variant where a Posix Semaphore is used when possible. It is 
only available when the underlying platform and APR supports it. 


*  sysvsem 


This is a somewhat elegant Mutex variant where a SystemV IPC Semaphore is used 
when possible. It is possible to "leak" SysV semaphores if processes crash before the 
semaphore is removed. It is only available when the underlying platform and APR 
supports it. 


* sem 


This directive tells the SSL Module to pick the "best" semaphore implementation 
available to it, choosing between Posix and SystemV IPC, in that order. It is only 
available when the underlying platform and APR supports at least one of the 2. 


e pthread 


This directive tells the SSL Module to use Posix thread mutexes. It is only available if 
the underlying platform and APR supports it. 


e  fcntl:/path/to/mutex 


This is a portable Mutex variant where a physical (lock-)file and the fcnt1() fucntion 
are used as the Mutex. Always use a local disk filesystem for /path/to/mutex and 
never a file residing on a NFS- or AFS-filesystem. It is only available when the 
underlying platform and APR supports it. Note: Internally, the Process ID (PID) of the 
Apache parent process is automatically appended to /path/to/mutex to make it unique, 
so you don't have to worry about conflicts yourself. Notice that this type of mutex is not 
available under the Win32 environment. There you have to use the semaphore mutex. 


e  flock:/path/to/mutex 


This is similar to the fcnt1:/path/to/mutex method with the exception that the f1ock() 
function is used to provide file locking. It is only available when the underlying platform 
and APR supports it. 


e file:/path/to/mutex 


This directive tells the SSL Module to pick the "best" file locking implementation 
available to it, choosing between fcnt1 和 flock , in that order. It is only available 
when the underlying platform and APR supports at least one of the 2. 


* default | yes 


This directive tells the SSL Module to pick the default locking implementation as 
determined by the platform and APR. 


示例 


SSLMutex file:/usr/local/apache/logs/ssl mutex 


SSLOptions 184 


说 明 Configure various SSL engine run-time options 
语法 SSLOptions [+&#124;-]_option_... 
作用 域 server config, virtual host, directory, .htaccess 
Bu Options 
TK 扩展 (E) 
模块 mod ssl 


This directive can be used to control various run-time options on a per-directory basis. 


Normally, if multiple ssLoptions could apply to a directory, then the most specific one is 


taken completely; the options are not merged. However if all the options on the ssLoptions 


directive are preceded by a plus ( + ) or minus ( - ) symbol, the options are merged. Any 


options preceded by a + are added to the options currently in force, and any options 


preceded bya - are removed from the options currently in force. 


The available option s are: 


StdEnvVars 


When this option is enabled, the standard set of SSL related CGI/SSI environment 
variables are created. This per default is disabled for performance reasons, because the 
information extraction step is a rather expensive operation. So one usually enables this 
option for CGI and SSI requests only. 


CompatEnvVars 


When this option is enabled, additional CGI/SSI environment variables are created for 
backward compatibility to other Apache SSL solutions. Look in the Compatibility chapter 
for details on the particular variables generated. 


ExportCertData 


When this option is enabled, additional CGI/SSI environment variables are created: 
SSL SERVER CERT , SSL CLIENT CERT 和 ssL CLIENT CERT CHAIN 7 (With n = 0,1,2,..). 





These contain the PEM-encoded X.509 Certificates of server and client for the current 
HTTPS connection and can be used by CGI scripts for deeper Certificate checking. 


Additionally all other certificates of the client certificate chain are provided, too. This 
bloats up the environment a little bit which is why you have to use this option to enable it 
on demand. 


*  FakeBasicAuth 


When this option is enabled, the Subject Distinguished Name (DN) of the Client X509 
Certificate is translated into a HTTP Basic Authorization username. This means that the 
standard Apache authentication methods can be used for access control. The user 
name is just the Subject of the Client's X509 Certificate (can be determined by running 
OpenSSL's openssl x509 command: openssl x509 -noout -subject -in 

certificate .crt ). Note that no password is obtained from the user. Every entry in the 
user file needs this password: " xxja1zMTzzkvA ", which is the DES-encrypted version of 
the word " password ". Those who live under MD5-based encryption (for instance under 
FreeBSD or BSD/OS, etc.) should use the following MD5 hash of the same word: 


" $1$0XLyS...$0wx8s2/m9/gfkcRVXzgoE/ ". 
e  StrictRequire 


This forces forbidden access when ssLRequiressL 或 SSLRequire successfully decided 

that access should be forbidden. Usually the default is that in the case where a 

" Satisfy any " directive is used, and other access restrictions are passed, denial of 

access due to ssLRequiressL 5% SSLRequire is overridden (because that's how the 

Apache satisfy mechanism should work.) But for strict access restriction you can use 
SSLRequiresSL and/or ssiRequire in combination with an 

" SSLOptions +StrictRequire ". Then an additional" satisfy any " has no chance once 
mod ssl has decided to deny access. 


*  OptRenegotiate 


This enables optimized SSL connection renegotiation handling when SSL directives are 
used in per-directory context. By default a strict scheme is enabled where every per- 
directory reconfiguration of SSL parameters causes a full SSL renegotiation handshake. 
When this option is used mod ssl tries to avoid unnecessary handshakes by doing 
more granular (but still safe) parameter checks. Nevertheless these granular checks 
sometimes maybe not what the user expects, so enable this on a per-directory basis 
only, please. 


示例 


SSLOptions +FakeBasicAuth -StrictRequire 
«Files ~ "\.(cgi|shtml)$"> 
SSLOptions +StdEnvVars +CompatEnvVars -ExportCertData 


<Files> 


SSLPassPhraseDialog 184 


说 明 Type of pass phrase dialog for encrypted private keys 
语法 SSLPassPhraseDialog type. 
默认 值 SSLPassPhraseDialog builtin 
作用 域 server config 
TK 扩展 (E) 
模块 mod ssl 


When Apache starts up it has to read the various Certificate (see ssLcertificateFile ) and 
Private Key (see ssLcertificateKeyFile ) files of the SSL-enabled virtual servers. Because 
for security reasons the Private Key files are usually encrypted, modss/ needs to query the 
administrator for a Pass Phrase in order to decrypt those files. This query can be done in 
two ways which can be configured by type: 


© builtin 


This is the default where an interactive terminal dialog occurs at startup time just before 
Apache detaches from the terminal. Here the administrator has to manually enter the 
Pass Phrase for each encrypted Private Key file. Because a lot of SSL-enabled virtual 
hosts can be configured, the following reuse-scheme is used to minimize the dialog: 
When a Private Key file is encrypted, all known Pass Phrases (at the beginning there 
are none, of course) are tried. If one of those known Pass Phrases succeeds no dialog 
pops up for this particular Private Key file. If none succeeded, another Pass Phrase is 
queried on the terminal and remembered for the next round (where it perhaps can be 
reused). 


This scheme allows modss/ to be maximally flexible (because for N encrypted Private 
Key files you can use N different Pass Phrases - but then you have to enter all of 
them, of course) while minimizing the terminal dialog (i.e. when you use a single Pass 
Phrase for all N Private Key files this Pass Phrase is queried only once). 


*  |/path/to/program [args...] 


This mode allows an external program to be used which acts as a pipe to a particular 
input device; the program is sent the standard prompt text used for the buiitin mode 
On stdin , and is expected to write password strings on stdout . If several passwords 
are needed (or an incorrect password is entered), additional prompt text will be written 
subsequent to the first password being returned, and more passwords must then be 
written back. 


exec:/path/to/program 


Here an external program is configured which is called at startup for each encrypted 
Private Key file. It is called with two arguments (the first is of the form 

" servername:portnumber ", the second is either" rsa "or" psa "), which indicate for 
which server and algorithm it has to print the corresponding Pass Phrase to stdout . 
The intent is that this external program first runs security checks to make sure that the 
system is not compromised by an attacker, and only when these checks were passed 


successfully it provides the Pass Phrase. 


Both these security checks, and the way the Pass Phrase is determined, can be as 
complex as you like. Mod ssl just defines the interface: an executable program which 
provides the Pass Phrase on stdout . Nothing more or less! So, if you're really 
paranoid about security, here is your interface. Anything else has to be left as an 
exercise to the administrator, because local security requirements are so different. 


The reuse-algorithm above is used here, too. In other words: The external program is 
called only once per unique Pass Phrase. 


示例 


SSLPassPhraseDialog exec:/usr/local/apache/sbin/pp-filter 


SSLProtocol 指 兮 


说 明 


语法 
默认 值 
作用 域 
覆盖 项 
状态 


模块 


Configure usable SSL protocol flavors 


SSLProtocol [*&4124;-] protocol ... 
SSLProtocol all 

server config, virtual host 

Options 

扩展 (E) 


mod ssl 


This directive can be used to control the SSL protocol flavors mod ssl should use when 
establishing its server environment. Clients then can only connect with one of the provided 
protocols. 


The available (case-insensitive) protocol s are: 
e  SSLv2 


This is the Secure Sockets Layer (SSL) protocol, version 2.0. It is the original SSL 
protocol as designed by Netscape Corporation. 


9  SSLv3 


This is the Secure Sockets Layer (SSL) protocol, version 3.0. It is the successor to 
SSLv2 and the currently (as of February 1999) de-facto standardized SSL protocol from 
Netscape Corporation. It's supported by almost all popular browsers. 


9 TLSv1 


This is the Transport Layer Security (TLS) protocol, version 1.0. It is the successor to 
SSLv3 and currently (as of February 1999) still under construction by the Internet 
Engineering Task Force (IETF). It's still not supported by any popular browsers. 


e All 


This is a shortcut for " +ss_v2 +SSLv3 +TLSv1 " and a convinient way for enabling all 
protocols except one when used in combination with the minus sign on a protocol as the 
example above shows. 


示例 


ü enable SSLv3 and TLSvi, but not SSLv2 


SSLProtocol all -SSLv2 


SSLProxyCACertificateFile 1847 


说 明 File of concatenated PEM-encoded CA Certificates for Remote Server 


Auth 
语法 SSLProxyCACertificateFile file-path 
oe server config, virtual host 


状态 扩展 (E) 

模块 mod ssl 
This directive sets the all-in-one file where you can assemble the Certificates of Certification 
Authorities (CA) whose remote servers you deal with. These are used for Remote Server 
Authentication. Such a file is simply the concatenation of the various PEM-encoded 


Certificate files, in order of preference. This can be used alternatively and/or additionally to 


SSLProxyCACertificatePath 


示例 


SSLProxyCACertificateFile /usr/local/apache2/conf/ssl.crt/ca-bundle-remote-server.crt 


SSLProxyCACertificatePath 1&4 


说 明 Directory of PEM-encoded CA Certificates for Remote Server Auth 


语法 SSLProxyCACertificatePath  directory-path 
作用 域 server config, virtual host 

状态 扩展 (E) 

模块 mod ssl 


This directive sets the directory where you keep the Certificates of Certification Authorities 
(CAs) whose remote servers you deal with. These are used to verify the remote server 
certificate on Remote Server Authentication. 


The files in this directory have to be PEM-encoded and are accessed through hash 
filenames. So usually you can't just place the Certificate files there: you also have to create 
symbolic links named hash-value .n . And you should always make sure this directory 
contains the appropriate symbolic links. Use the makefile which comes with mod ssl to 
accomplish this task. 


示例 


SSLProxyCACertificatePath /usr/local/apache2/conf/ssl.crt/ 


SSLProxyCARevocationFile 1E 4 


3 BH File of concatenated PEM-encoded CA CRLs for Remote Server Auth 

语法 SSLProxyCARevocationFile _file-path_ 

作用 域 ^ server config, virtual host 

状态 扩展 (E) 

模块 mod ssl 
This directive sets the all-in-one file where you can assemble the Certificate Revocation 
Lists (CRL) of Certification Authorities (CA) whose remote servers you deal with. These are 
used for Remote Server Authentication. Such a file is simply the concatenation of the 


various PEM-encoded CRL files, in order of preference. This can be used alternatively 
and/or additionally to ssLProxyCARevocationPath . 


示例 


SSLProxyCARevocationFile /usr/local/apache2/conf/ssl.crl/ca-bundle-remote-server.crl 


SSLProxyCARevocationPath 184 


说 明 Directory of PEM-encoded CA CRLs for Remote Server Auth 


语法 SSLProxyCARevocationPath  directory-path 
作用 域 server config, virtual host 
状态 扩展 (E) 


模块 mod ssl 


This directive sets the directory where you keep the Certificate Revocation Lists (CRL) of 
Certification Authorities (CAs) whose remote servers you deal with. These are used to 
revoke the remote server certificate on Remote Server Authentication. 


The files in this directory have to be PEM-encoded and are accessed through hash 
filenames. So usually you have not only to place the CRL files there. Additionally you have 
to create symbolic links named hash-value .rN . And you should always make sure this 
directory contains the appropriate symbolic links. Use the makefile which comes with 

mod ss1 to accomplish this task. 


示例 


SSLProxyCARevocationPath /usr/local/apache2/conf/ssl.crl/ 


SSLProxyCipherSuite 1E 4 


说 明 Cipher Suite available for negotiation in SSL proxy handshake 
语法 SSLProxyCipherSuite _cipher-spec_ 
默认 值 SSLProxyCipherSuite ALL: !ADH:RCA-*RSA: *HIGH: MEDIUM: +LOW: *SSLv2: *EXP 


作用 域 server config, virtual host, directory, .htaccess 
Emi AuthConfig 

状态 扩展 (E) 

模块 mod ssl 


Equivalent to sstciphersuite , but for the proxy connection. Please refer to ssLciphersuite 
for additional information. 


SSLProxyEngine 指令 


说 明 SSL Proxy Engine Operation Switch 
语法 SSLProxyEngine on&#124;off 
默认 值 SSLProxyEngine off 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod ssl 


This directive toggles the usage of the SSL/TLS Protocol Engine for proxy. This is usually 
used inside a «virtualHost» section to enable SSL/TLS for proxy usage in a particular 
virtual host. By default the SSL/TLS Protocol Engine is disabled for proxy image both for the 
main server and all configured virtual hosts. 


示例 


<VirtualHost default :443» 


SSLProxyEngine on 


«/NirtualHost» 


SSLProxyMachineCertificateFile 18 4 


File of concatenated PEM-encoded client certificates and keys to be used 


说 明 
by the proxy 
语法 SSLProxyMachineCertificateFile _filename_ 
作用 ! 
server confi 
域 9 
un 


Not applicable 


项 
状态 扩展 (E) 
模块 mod ssl 


This directive sets the all-in-one file where you keep the certificates and keys used for 
authentication of the proxy server to remote servers. 


This referenced file is simply the concatenation of the various PEM-encoded certificate files, 
in order of preference. Use this directive alternatively or additionally to 


SSLProxyMachineCertificatePath 


Currently there is no support for encrypted private keys 


示例 


SSLProxyMachineCertificateFile /usr/local/apache2/conf/ssl.crt/proxy.pem 


SSLProxyMachineCertificatePath 184 


Directory of PEM-encoded client certificates and keys to be used by the 


说 明 
proxy 
语法 SSLProxyMachineCertificatePath _directory_ 
作用 , 
: server confi 
域 g 
un 


Not applicable 


7j 
KA 扩展 (E) 
模块 mod ssl 


This directive sets the directory where you keep the certificates and keys used for 
authentication of the proxy server to remote servers. 


The files in this directory must be PEM-encoded and are accessed through hash filenames. 
Additionally, you must create symbolic links named _hash-value_.n . And you should always 
make sure this directory contains the appropriate symbolic links. Use the Makefile which 
comes with mod ssl to accomplish this task. 


Currently there is no support for encrypted private keys 


示例 


SSLProxyMachineCertificatePath /usr/local/apache2/conf/proxy.crt/ 


SSLProxyProtocol 1&4 


说 明 Configure usable SSL protocol flavors for proxy usage 
语法 SSLProxyProtocol [4&4124;-] protocol ... 
默认 值 SSLProxyProtocol all 
作用 域 server config, virtual host 
‘sma ih Options 
状态 扩展 (E) 
模块 mod ssl 


This directive can be used to control the SSL protocol flavors mod ssl should use when 
establishing its server environment for proxy . It will only connect to servers using one of the 
provided protocols. 


Please refer to ssLProtocol for additional information. 


SSLProxyVerify 184 


3€ BB Type of remote server Certificate verification 
语法 SSLProxyVerify level. 
默认 值 SSLProxyVerify none 
作用 域 Server config, virtual host, directory, .htaccess 
覆盖 项 AuthConfig 
状态 扩展 (E) 
模块 mod ssl 


When a proxy is configured to forward requests to a remote SSL server, this directive can be 
used to configure certificate verification of the remote server. Notice that this directive can be 
used both in per-server and per-directory context. In per-server context it applies to the 
remote server authentication process used in the standard SSL handshake when a 
connection is established by the proxy. In per-directory context it forces a SSL renegotation 
with the reconfigured remote server verification level after the HTTP request was read but 
before the HTTP response is sent. 


Note that even when certificate verification is enabled, mod ssi does not check whether the 

commonName (hostname) attribute of the server certificate matches the hostname used to 
connect to the server. In other words, the proxy does not guarantee that the SSL connection 
to the backend server is "secure" beyond the fact that the certificate is signed by one of the 
CAs configured using the ssLProxycACertificatePath and/or ssLProxyCACertificateFile 
directives. 


The following levels are available for level: 


e none: no remote server Certificate is required at all 

e optional: the remote server may present a valid Certificate 

e require: the remote server has fo present a valid Certificate 

e optional no ca: the remote server may present a valid Certificate but it need not to be 
(successfully) verifiable. 


In practice only levels none 和 require are really interesting, because level optional doesn't 
work with all servers and level optional no ca is actually against the idea of authentication 
(but can be used to establish SSL test pages, etc.) 


示例 


SSLProxyVerify require 


SSLProxyVerifyDepth 1&4 


说 明 Maximum depth of CA Certificates in Remote Server Certificate 


Verification 
语法 SSLProxyVerifyDepth number 
默认 SSLProxyVerifyDepth 1 
值 
作用 | 
域 server config, virtual host, directory, .htaccess 
覆盖 , 
m AuthConfig 
KA 扩展 (E) 
模块 mod ssl 


This directive sets how deeply mod ssl should verify before deciding that the remote server 
does not have a valid certificate. Notice that this directive can be used both in per-server and 
per-directory context. In per-server context it applies to the client authentication process 
used in the standard SSL handshake when a connection is established. In per-directory 
context it forces a SSL renegotation with the reconfigured remote server verification depth 
after the HTTP request was read but before the HTTP response is sent. 


The depth actually is the maximum number of intermediate certificate issuers, i.e. the 
number of CA certificates which are max allowed to be followed while verifying the remote 
server certificate. A depth of 0 means that self-signed remote server certificates are 
accepted only, the default depth of 1 means the remote server certificate can be self-signed 
or has to be signed by a CA which is directly known to the server (i.e. the CA's certificate is 


under ssLProxyCACertificatePath ), etc. 


示例 


SSLProxyVerifyDepth 10 


SSLRandomSeed #3 


说 明 Pseudo Random Number Generator (PRNG) seeding source 


语法 SSLRandomSeed context source [ bytes ] 





作用 域 server config 
状态 扩展 (E) 


模块 mod ssl 


This configures one or more sources for seeding the Pseudo Random Number Generator 
(PRNG) in OpenSSL at startup time (contextis startup ) and/or just before a new SSL 
connection is established (context is connect ). This directive can only be used in the global 
server context because the PRNG is a global facility. 


The following source variants are available: 
* builtin 


This is the always available builtin seeding source. It's usage consumes minimum CPU 
cycles under runtime and hence can be always used without drawbacks. The source 
used for seeding the PRNG contains of the current time, the current process id and 
(when applicable) a randomly choosen 1KB extract of the inter-process scoreboard 
structure of Apache. The drawback is that this is not really a strong source and at 
startup time (where the scoreboard is still not available) this source just produces a few 
bytes of entropy. So you should always, at least for the startup, use an additional 
seeding source. 


e  file:/path/to/source 


This variant uses an external file /path/to/source as the source for seeding the PRNG. 
When bytes is specified, only the first bytes number of bytes of the file form the entropy 
(and bytes is given to /path/to/source as the first argument). When bytes is not 
specified the whole file forms the entropy (and e is given to /path/to/source as the 
first argument). Use this especially at startup time, for instance with an available 

/dev/random and/or /dev/urandom devices (which usually exist on modern Unix 
derivates like FreeBSD and Linux). 


But be careful: Usually /dev/random provides only as much entropy data as it actually 
has, i.e. when you request 512 bytes of entropy, but the device currently has only 100 
bytes available two things can happen: On some platforms you receive only the 100 
bytes while on other platforms the read blocks until enough bytes are available (which 
can take a long time). Here using an existing /dev/urandom is better, because it never 
blocks and actually gives the amount of requested data. The drawback is just that the 
quality of the received data may not be the best. 


On some platforms like FreeBSD one can even control how the entropy is actually 


generated, i.e. by which system interrupts. More details one can find under rndcontrol(8) 


on those platforms. Alternatively, when your system lacks such a random device, you 


can use tool like EGD (Entropy Gathering Daemon) and run it's client program with the 


exec:/path/to/program/ Variant (see below) or use egd:/path/to/egd-socket (see 


below). 


*  exec:/path/to/program 


This variant uses an external executable /path/to/program as the source for seeding 


the PRNG. When bytes is specified, only the first bytes number of bytes of its stdout 


contents form the entropy. When bytes is not specified, the entirety of the data produced 


On stdout form the entropy. Use this only at startup time when you need a very strong 


seeding with the help of an external program (for instance as in the example above with 


the truerand utility you can find in the modss! distribution which is based on the AT&T 


_truerand library). Using this in the connection context slows down the server too 


dramatically, of course. So usually you should avoid using external programs in that 


context. 


e  egd:/path/to/egd-socket (Unix only) 


This variant uses the Unix domain socket of the external Entropy Gathering Daemon 
(EGD) (see http://www.lothar.com/tech /crypto/) to seed the PRNG. Use this if no 
random device exists on your platform. 


示例 


SSLRandomSeed 
SSLRandomSeed 
SSLRandomSeed 
SSLRandomSeed 
SSLRandomSeed 
SSLRandomSeed 


SSLRandomSeed 


startup 
startup 
startup 
startup 
connect 
connect 


connect 


builtin 


file:/dev/random 


file:/dev/urandom 1024 


exec:/usr/local/bin/truerand 16 


builtin 


file:/dev/random 


file:/dev/urandom 1024 


SSLRequire 指令 


项 
状态 


模块 


Allow access only when an arbitrarily complex boolean expression is 


SSLRequire _expression_ 


directory, .htaccess 


AuthConfig 


扩展 (E) 


mod ssl 


true 


This directive specifies a general access requirement which has to be fulfilled in order to 


allow access. It is a very powerful directive because the requirement specification is an 


arbitrarily complex boolean expression containing any number of access checks. 


The implementation of ssLRequire is not thread safe. Using ssLRequire inside .htaccess 
files on a threaded MPM may cause random crashes. 


The expression must match the following syntax (given as a BNF grammar notation): 








expr ris C**tryge**" | "**false**" 
Moss [pesos M expr 
expr "**gg kx" expr 
expr MS expr 
est (ess expr dress yen 
comp 

comp : := word "**==**" word | word "**eq**" word 
word "**!=**" word | word "**ne**" word 
wonders  wond le wonm ts s t wo 
word "**&l1t;-**" word | word "**le**" word 
word "**&gt;**" word | word "**gt**" word 
word "**&gt;-**" word | word "**ge**" word 
word STIS ogee RAM wordlist QUE E 
word I qms sss (o TE [D (E word UF) eel 
word "**=~**" regex 
word '"**1—**" regex 

wordlist ::= word 
wordlist === word 

word o digit 
cstring 
variable 
function 

digit = [0-9]+ 

CSErINO 88S Yoagg 

Varalle ns Vaname 

ipuümctxonm cunctae (CC ae UNGAR Seca) 


while for varname any variable from Table 3 can be used. Finally for funcname 


functions are available: 


e file( filename ) 


the following 


This function takes one string argument and expands to the contents of the file. This is 
especially useful for matching this contents against a regular expression, etc. 


Notice that expression is first parsed into an internal machine representation and then 
evaluated in a second step. Actually, in Global and Per-Server Class context expression is 
parsed at startup time and at runtime only the machine representation is executed. For Per- 
Directory context this is different: here expression has to be parsed and immediately 
executed for every request. 


示例 


SSLRequire ( %{SSL_CIPHER} !- m/^(EXP|NULL)-/ \ 

and 9£(SSL CLIENT S DN O) eq "Snake Oil, Ltd." \ 

and 9&(SSL CLIENT S DN OU) in {"Staff", "CA", "Dev") \ 
and %{TIME_WDAY} >= 1 and %{TIME_WDAY} <= 5 \ 

and %{TIME_HOUR} >= 8 and %{TIME_HOUR} <= 20 =e 


or %{REMOTE_ADDR} =~ m/A192\.76\.162\.[0-9]+$/ 


oID() function expects to find zero or more instances of the given OID in the client 
certificate, and compares the left-hand side string against the value of matching OID 
attributes. Every matching OID is checked, until a match is found. 


Standard CGI/1.0 and Apache variables: 


HTTP_USER_AGENT 
HTTP_REFERER 
HTTP_COOKIE 
HTTP_FORWARDED 
HTTP_HOST 
HTTP_PROXY_CONNECTION 
HTTP_ACCEPT 
HTTP: headername 
THE_REQUEST 
REQUEST_METHOD 
REQUEST_SCHEME 
REQUEST_URI 
REQUEST_FILENAME 


SSL-related variables: 


PATH_INFO 
QUERY_STRING 
REMOTE_HOST 
REMOTE_IDENT 
IS_SUBREQ 
DOCUMENT_ROOT 
SERVER_ADMIN 
SERVER_NAME 
SERVER_PORT 
SERVER_PROTOCOL 
REMOTE_ADDR 
REMOTE_USER 


AUTH_TYPE 
SERVER_SOFTWARE 
API_VERSION 
TIME_YEAR 
TIME_MON 
TIME_DAY 
TIME_HOUR 
TIME_MIN 
TIME_SEC 
TIME_WDAY 

TIME 

ENV: **variablename** 


HTTPS 


SSL PROTOCOL 

SSL SESSION ID 

SSL CIPHER 

SSL CIPHER EXPORT 

SSL CIPHER ALGKEYSIZE 
SSL CIPHER USEKEYSIZE 
SSL VERSION LIBRARY 
SSL VERSION INTERFACE 


SSL CLIENT M VERSION 
SSL CLIENT M SERIAL 
SSL CLIENT V START 
SSL CLIENT V END 
SSL CLIENT S DN 

SSL CLIENT S DN C 
SSL CLIENT S DN ST 
SSL CLIENT S DN L 
SSL CLIENT S DN O 
SSL CLIENT S DN OU 
SSL CLIENT S DN CN 
SSL CLIENT S DN T 
SSL CLIENT S DN I 
SSL CLIENT S DN G 
SSL CLIENT S DN S 
SSL CLIENT S DN D 
SSL CLIENT S DN UID 
SSL CLIENT S DN Email 
SSL CLIENT I DN 

SSL CLIENT I DN C 
SSL CLIENT I DN ST 
SSL CLIENT I DN L 
SSL CLIENT I DN O 
SSL CLIENT I DN OU 
SSL CLIENT I DN CN 
SSL CLIENT I DN T 
SSL CLIENT I DN I 
SSL CLIENT I DN G 
SSL CLIENT I DN S 
SSL CLIENT I DN D 
SSL CLIENT I DN UID 
SSL CLIENT I DN Email 
SSL CLIENT A SIG 
SSL CLIENT A KEY 
SSL CLIENT CERT 


SSL SERVER M VERSION 
SSL SERVER M SERIAL 
SSL SERVER V START 
SSL SERVER V END 
SSL SERVER S DN 

SSL SERVER S DN C 
SSL SERVER S DN ST 
SSL SERVER S DN L 
SSL SERVER S DN O 
SSL SERVER S DN OU 
SSL SERVER S DN CN 
SSL SERVER S DN T 
SSL SERVER S DN I 
SSL SERVER S DN G 
SSL SERVER S DN S 
SSL SERVER S DN D 
SSL SERVER S DN UID 
SSL SERVER S DN Email 
SSL SERVER I DN 

SSL SERVER I DN C 
SSL SERVER I DN ST 
SSL SERVER I DN L 
SSL SERVER I DN O 
SSL SERVER I DN OU 
SSL SERVER I DN CN 
SSL SERVER I DN T 
SSL SERVER I DN I 
SSL SERVER I DN G 
SSL SERVER I DN S 
SSL SERVER I DN D 
SSL SERVER I DN UID 
SSL SERVER I DN Email 
SSL SERVER A SIG 
SSL SERVER A KEY 
SSL SERVER CERT 


SSL CLIENT CERT CHAIN **n** 





SSL CLIENT VERIFY 


SSLRequireSSL 指令 


说 明 
i3 SSLRequireSSL 
作用 域 directory, .htaccess 
覆盖 项 AuthConfig 
状态 扩展 (E) 
模块 mod ssl 


Deny access when SSL is not used for the HTTP request 


This directive forbids access unless HTTP over SSL (i.e. HTTPS) is enabled for the current 
connection. This is very handy inside the SSL-enabled virtual host or directories for 
defending against configuration errors that expose stuff that should be protected. When this 
directive is present all requests are denied which are not using SSL. 


示例 


SSLRequireSSL 


SSLSessionCache 1&4 


说 明 Type of the global/inter-process SSL Session Cache 
语法 SSLSessionCache _type_ 
默认 值 SSLSessionCache none 
VE FA server config 
TK AS 扩展 (E) 
模块 mod ssl 


This configures the storage type of the global/inter-process SSL Session Cache. This cache 
is an optional facility which speeds up parallel request processing. For requests to the same 
server process (via HTTP keep-alive), OpenSSL already caches the SSL session 
information locally. But because modern clients request inlined images and other data via 
parallel requests (usually up to four parallel requests are common) those requests are 
served by different pre-forked server processes. Here an inter-process cache helps to avoid 
unneccessary session handshakes. 


The following four storage type s are currently supported: 
* none 


This disables the global/inter-process Session Cache. This will incur a noticeable speed 
penalty and may cause problems if using certain browsers, particularly if client 
certificates are enabled. This setting is not recommended. 


*  nonenotnull 


This disables any global/inter-process Session Cache. However it does force OpenSSL 
to send a non-null session ID to accommodate buggy clients that require one. 


*  dbm:/path/to/datafile 


This makes use of a DBM hashfile on the local disk to synchronize the local OpenSSL 
memory caches of the server processes. This session cache may suffer reliability 
issues under high load. 


e  shm:/path/to/datafile [ ( size ) | 


This makes use of a high-performance cyclic buffer (approx. size bytes in size) inside a 
shared memory segment in RAM (established via /path/to/datafile ) to synchronize 
the local OpenSSL memory caches of the server processes. This is the recommended 
session cache. 


@  dc:UNIX:/path/to/socket 


This makes use of the distcache distributed session caching libraries. The argument 
should specify the location of the server or proxy to be used using the distcache 
address syntax; for example, uNix:/path/to/socket specifies a UNIX domain socket 
(typically a local dc client proxy); IP:server.example.com:9001 specifies an IP address. 


例子 


SSLSessionCache dbm:/usr/local/apache/logs/ssl gcache data 


SSLSessionCache shm:/usr/local/apache/logs/ssl gcache data(512000) 


SSLSessionCacheTimeout 1&4 


说 明 Number of seconds before an SSL session expires in the Session Cache 
语法 SSLSessionCacheTimeout . seconds . 
默认 值 SSLSessionCacheTimeout 300 


作用 域 ^ server config, virtual host 
状态 y R(E) 


模块 mod ssl 


This directive sets the timeout in seconds for the information stored in the global/inter- 
process SSL Session Cache and the OpenSSL internal memory cache. It can be set as low 
as 15 for testing, but should be set to higher values like 300 in real life. 


示例 


SSLSessionCacheTimeout 600 


SSLUserName #84 


说 明 Variable name to determine user name 


语法 SSLUserName  varname 

作用 域 server config, directory, .htaccess 

fem hl AuthConfig 

状态 扩展 (E) 

模块 mod ssl 

兼容 性 仅 在 Apache 2.0.51 及 以 后 的 版 本 中 可 用 


This directive sets the "user" field in the Apache request object. This is used by lower 
modules to identify the user with a character string. In particular, this may cause the 
environment variable REMOTE_USER to be set. The varname can be any of the SSL 
environment variables. 


Note that this directive has no effect if the FakeBasic option is used (see SSL Options). 


示例 


SSLUSerName SSL_CLIENT_S_DN_CN 


SSLVerifyClient #83 


说 明 Type of Client Certificate verification 
语法 SSLVerifyClient level. 
默认 值 SSLVerifyClient none 
作用 域 server config, virtual host, directory, .htaccess 
Emi AuthConfig 
状态 扩展 (E) 
模块 mod ssl 


This directive sets the Certificate verification level for the Client Authentication. Notice that 
this directive can be used both in per-server and per-directory context. In per-server context 
it applies to the client authentication process used in the standard SSL handshake when a 
connection is established. In per-directory context it forces a SSL renegotation with the 
reconfigured client verification level after the HTTP request was read but before the HTTP 
response is sent. 


The following levels are available for level: 


e none: no client Certificate is required at all 

e optional: the client may present a valid Certificate 

e require: the client has to present a valid Certificate 

e optional no ca: the client may present a valid Certificate but it need not to be 
(successfully) verifiable. 


In practice only levels none 和 require are really interesting, because level optional doesn't 
work with all browsers and level optional no ca is actually against the idea of 
authentication (but can be used to establish SSL test pages, etc.) 


示例 


SSLVerifyClient require 


SSLVerifyDepth 指令 


说 明 Maximum depth of CA Certificates in Client Certificate verification 
语法 SSLVerifyDepth number . 
默认 值 SSLVerifyDepth 1 


作用 域 server config, virtual host, directory, .htaccess 
Emi AuthConfig 
状态 扩展 (E) 


模块 mod ssl 


This directive sets how deeply mod ssl should verify before deciding that the clients don't 
have a valid certificate. Notice that this directive can be used both in per-server and per- 
directory context. In per-server context it applies to the client authentication process used in 
the standard SSL handshake when a connection is established. In per-directory context it 
forces a SSL renegotation with the reconfigured client verification depth after the HTTP 
request was read but before the HTTP response is sent. 


The depth actually is the maximum number of intermediate certificate issuers, i.e. the 
number of CA certificates which are max allowed to be followed while verifying the client 
certificate. A depth of 0 means that self-signed client certificates are accepted only, the 
default depth of 1 means the client certificate can be self-signed or has to be signed by a CA 
which is directly known to the server (i.e. the CA's certificate is under 


SSLCACertificatePath ), etc. 


示例 


SSLVerifyDepth 10 


Apache? mod status 


说 明 生成 描述 服务 器 状态 的 Web 页 面 
状态 基本 (B) 
模块 名 status module 
源 文件 mod status.c 


概述 


The Status module allows a server administrator to find out how well their server is 
performing. AHTML page is presented that gives the current server statistics in an easily 
readable form. If required this page can be made to automatically refresh (given a 
compatible browser). Another page gives a simple machine-readable list of the current 
server state. 


The details given are: 


e The number of worker serving requests 

e The number of idle worker 

e The status of each worker, the number of requests that worker has performed and the 
total number of bytes served by the worker (*) 

e Atotal number of accesses and byte count served (*) 

e The time the server was started/restarted and the time it has been running for 

e Averages giving the number of requests per second, the number of bytes served per 
second and the average number of bytes per request (*) 

e The current percentage CPU used by each worker and in total by Apache (*) 

e The current hosts and requests being processed (*) 


A compile-time option must be used to display the details marked "(*)" as the instrumentation 
required for obtaining these statistics does not exist within standard Apache. 


Enabling Status Support 


To enable status reports only for browsers from the foo.com domain add this code to your 
httpd.conf configuration file 


«Location /server-status» 
SetHandler server-status 
Order Deny,Allow 

Deny from all 

Allow from .foo.com 


«/Location» 


You can now access server statistics by using a Web browser to access the page 
http://your.server.name/server-status 


Automatic Updates 


You can get the status page to update itself automatically if you have a browser that 
supports "refresh". Access the page http://your.server.name/server-status?refresh-N to 
refresh the page every N seconds. 


Machine Readable Status File 


A machine-readable version of the status file is available by accessing the page 
http://your.server.name/server-status?auto . This is useful when automatically run, see the 
Perl program in the /support directory of Apache, 1og server status . 


It should be noted that if mod status is compiled into the server, its handler capability 
is available in all configuration files, including per-directory files (例如 ， .htaccess ). 
This may have security-related ramifications for your site. 


ExtendedStatus 184 


说 明 Keep track of extended status information for each request 
语法 ExtendedStatus On&#124; Off 
默认 值 ExtendedStatus Off 


VF FA server config 
状态 基本 (B) 
模块 mod status 


兼容 性 ExtendedStatus is only available in Apache 1.3.2 及 以 后 的 版 本 中 可 用 


This setting applies to the entire server, and cannot be enabled or disabled on a virtualhost- 
by-virtualhost basis. The collection of extended status information can slow down the server. 


Apache 模 块 mod suexec 


使 用 与 调用 web 服 务 器 的 用 户 不 同 的 用 户 身份 来 运行 CGI 和 SSI 程 序 


说 明 
状态 扩展 (E) 
模块 名 suexec module 


源 文件 mod suexec.c 
兼容 性 fı TE Apache 2.0 及 以 后 的 版 本 中 可 用 


概述 
将 该 模块 联合 suexec 支持 程序 使 用 ， 可 以 允许 以 特定 的 用 户 和 组 身份 运行 CGI 程序 。 


SuexecUserGroup 184 


运行 CGI 程序 的 用 户 和 组 


说 明 
语法 SuexecUserGroup User Group. 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod suexec 
兼容 性 仅 在 Apache 2.0 及 以 后 的 版 本 中 可 用 


SuexecUserGroup 指定 CGI 程序 运行 时 所 使 用 的 用 户 和 组 。 非 CGI 程序 的 请 求 仍 然 使 用 User 指 
使 所 指定 的 用 户 身份 处 理 。 该 指使 取代 了 Apache1.3 的 VirtualHosts 配 置 中 的 User 和 Group 指 


A 
To 


示例 


SuexecUserGroup nobody nogroup 


Apache 模 块 mod unique id 


说 明 为 每 个 请 求生 成 唯一 的 标识 以 便 跟 踪 
状态 扩展 (E) 
模块 名 unique id module 
源 文件 mod unique id.c 


概述 


This module provides a magic token for each request which is guaranteed to be unique 
across "all" requests under very specific conditions. The unique identifier is even unique 
across multiple machines in a properly configured cluster of machines. The environment 
variable UNIQUE_ID is set to the identifier for each request. Unique identifiers are useful for 
various reasons which are beyond the scope of this document. 


Theory 


First a brief recap of how the Apache server works on Unix machines. This feature currently 
isn't supported on Windows NT. On Unix machines, Apache creates several children, the 
children process requests one at a time. Each child can serve multiple requests in its 
lifetime. For the purpose of this discussion, the children don't share any data with each 
other. We'll refer to the children as «dfn class="calibre27">httpd processes</dfn>. 


Your website has one or more machines under your administrative control, together we'll call 
them a cluster of machines. Each machine can possibly run multiple instances of Apache. 
All of these collectively are considered "the universe", and with certain assumptions we'll 
show that in this universe we can generate unique identifiers for each request, without 
extensive communication between machines in the cluster. 


The machines in your cluster should satisfy these requirements. (Even if you have only one 
machine you should synchronize its clock with NTP.) 


e The machines' times are synchronized via NTP or other network time protocol. 
e The machines' hostnames all differ, such that the module can do a hostname lookup on 
the hostname and receive a different IP address for each machine in the cluster. 


As far as operating system assumptions go, we assume that pids (process ids) fit in 32-bits. 
If the operating system uses more than 32-bits for a pid, the fix is trivial but must be 
performed in the code. 


Given those assumptions, at a single point in time we can identify any httpd process on any 
machine in the cluster from all other httpd processes. The machine's IP address and the pid 
of the httpd process are sufficient to do this. So in order to generate unique identifiers for 
requests we need only distinguish between different points in time. 


To distinguish time we will use a Unix timestamp (seconds since January 1, 1970 UTC), and 
a 16-bit counter. The timestamp has only one second granularity, so the counter is used to 
represent up to 65536 values during a single second. The quadruple ( jp adar, pid, 

time stamp, counter ) is sufficient to enumerate 65536 requests per second per httpd 
process. There are issues however with pid reuse over time, and the counter is used to 
alleviate this issue. 


When an httpd child is created, the counter is initialized with ( current microseconds divided 
by 10 ) modulo 65536 (this formula was chosen to eliminate some variance problems with 
the low order bits of the microsecond timers on some systems). When a unique identifier is 
generated, the time stamp used is the time the request arrived at the web server. The 
counter is incremented every time an identifier is generated (and allowed to roll over). 


The kernel generates a pid for each process as it forks the process, and pids are allowed to 
roll over (they're 16-bits on many Unixes, but newer systems have expanded to 32-bits). So 
over time the same pid will be reused. However unless it is reused within the same second, 
it does not destroy the uniqueness of our quadruple. That is, we assume the system does 
not spawn 65536 processes in a one second interval (it may even be 32768 processes on 
some Unixes, but even this isn't likely to happen). 


Suppose that time repeats itself for some reason. That is, suppose that the system's clock is 
screwed up and it revisits a past time (or it is too far forward, is reset correctly, and then 
revisits the future time). In this case we can easily show that we can get pid and time stamp 
reuse. The choice of initializer for the counter is intended to help defeat this. Note that we 
really want a random number to initialize the counter, but there aren't any readily available 
numbers on most systems (i.e., you can't use rand() because you need to seed the 
generator, and can't seed it with the time because time, at least at one second resolution, 
has repeated itself). This is not a perfect defense. 


How good a defense is it? Suppose that one of your machines serves at most 500 requests 
per second (which is a very reasonable upper bound at this writing, because systems 
generally do more than just shovel out static files). To do that it will require a number of 
children which depends on how many concurrent clients you have. But we'll be pessimistic 
and suppose that a single child is able to serve 500 requests per second. There are 1000 
possible starting counter values such that two sequences of 500 requests overlap. So there 
is a 1.596 chance that if time (at one second resolution) repeats itself this child will repeat a 


counter value, and uniqueness will be broken. This was a very pessimistic example, and 
with real world values it's even less likely to occur. If your system is such that it's still likely to 
occur, then perhaps you should make the counter 32 bits (by editing the code). 


You may be concerned about the clock being "set back" during summer daylight savings. 
However this isn't an issue because the times used here are UTC, which "always" go 
forward. Note that x86 based Unixes may need proper configuration for this to be true -- they 
should be configured to assume that the motherboard clock is on UTC and compensate 
appropriately. But even still, if you're running NTP then your UTC time will be correct very 
shortly after reboot. 


UNIQUE ID environment variable is constructed by encoding the 112-bit (32-bit IP address, 
32 bit pid, 32 bit time stamp, 16 bit counter) quadruple using the alphabet [A-za-zo-9@-] in 
a manner similar to MIME base64 encoding, producing 19 characters. The MIME base64 
alphabet is actually [A-za-zo-9«/] however + 和 / need to be specially encoded in URLs, 
which makes them less desirable. All values are encoded in network byte ordering so that 
the encoding is comparable across architectures of different byte ordering. The actual 
ordering of the encoding is: time stamp, IP address, pid, counter. This ordering has a 
purpose, but it should be emphasized that applications should not dissect the encoding. 
Applications should treat the entire encoded uNIQUE ID as an opaque token, which can be 
compared against other UNIQuE_ rp s for equality only. 


The ordering was chosen such that it's possible to change the encoding in the future without 
worrying about collision with an existing database of UNIQuE_ID s. The new encodings 
should also keep the time stamp as the first element, and can otherwise use the same 
alphabet and bit length. Since the time stamps are essentially an increasing sequence, it's 
sufficient to have a flag second in which all machines in the cluster stop serving and request, 
and stop using the old encoding format. Afterwards they can resume requests and begin 
issuing the new encodings. 


This we believe is a relatively portable solution to this problem. It can be extended to 
multithreaded systems like Windows NT, and can grow with future needs. The identifiers 
generated have essentially an infinite life-time because future identifiers can be made longer 
as required. Essentially no communication is required between machines in the cluster (only 
NTP synchronization is required, which is low overhead), and no communication between 
httpd processes is required (the communication is implicit in the pid value assigned by the 
kernel). In very specific situations the identifier can be shortened, but more information 
needs to be assumed (for example the 32-bit IP address is overkill for any site, but there is 
no portable shorter replacement for it). 


Apache 模 块 mod_userdir 


说 明 允许 用 户 从 自己 的 主 目录 中 提供 页 面 (使 用 "/~username") 
状态 基本 (B) 
模块 名 userdir module 


源 文件 mod userdir.c 


概述 


此 模块 允许 使 用 类 似 http://example.com/-user/ 的 语法 来 访 问 用 户 网 站 目 Ko 


UserDir 指令 


说 明 用 户 网 站 目录 的 位 置 
语法 UserDir directory-filename 
作用 域 server config, virtual host 
状态 基本 (B) 
模块 mod_userdir 


userpir 指令 指定 了 用 户 目录 下 的 一 个 实 实 在 在 的 目录 ， 存 放 了 该 用 户 提供 访问 的 文 
档 。Directory-filename 可 以 是 以 下 几 种 形式 之 一 : 


。 一 个 目录 名 或 如 下 所 示 的 匹配 模式 : 

e 关键 词 disabled 停止 所 有 用 户 名 到 目录 的 转换 ， 但 不 包括 明确 使 用 enabled 启用 的 ( 见 下 
面 ) 目 录 。 

. 关键 词 disabled 并 跟随 一 个 以 空格 分 隔 的 用 户 名 列表 (其 中 的 用 户 即使 出 现在 enabled 的 
用 户 列 表 中 ， 也 不 会 进行 目录 转换 )。 

。 关键 词 enabled 并 跟随 一 个 以 空格 分 隔 的 用 户 名 列表 。 此 列表 中 的 用 户 允 许 进 行 目录 转 
换 ， 即 使 有 一 个 全 局 的 disabled 关闭 了 此 操作 ， 但 是 ， 如 果 同 时 出 现在 disabled 的 用 
户 列表 中 ， 则 不 执行 转换 操作 。 


如 果 在 userdir 指令 中 ， 既 没有 enabled 也 没有 disabled 关键 词 ， 则 其 参数 将 被 视 为 文件 匹 
配 模式 ， 用 于 转换 成 目 录 名 。 对 http://www.foo.com/-bob/one/two.html 的 请 求 会 被 转换 为 


UserDir #843 转换 后 的 路 径 


UserDir public_html -bob/public html/one/two.html 
UserDir /usr/web /usr/web/bob/one/two.html 
UserDir /home/*/www /home/bob/www/one/two.html 


下 列 指 倒 将 发 送 重 定向 到 客户 端 : 


UserDir 1&4 转换 后 的 路 径 
UserDir http://www.foo.com/users http://www.foo.com/users/bob/one/two.html 
UserDir http:/Awww.foo.com/*/usr http://www.foo.com/bob/usr/one/two.html 
UserDir http:/Awww.foo.com/~*/ http://www.foo.com/~bob/one/two.html 


注意 : 使 用 此 指令 时 要 很 小 心 ， 例 如 "userpir ./ "可 能 会 把 ” /-root 映射 到 ”/ “而 这 可 能 不 
是 我 们 想 要 的 。 强 烈 建议 在 配置 文件 中 包含 一 个 " userbir disabled root "声明 。 更 多 信息 请 
参见 Directory 指令 和 安全 提示 。 


举例 : 
人 允许 某 些 用 户 使 用 userpir 指令 ， 而 禁止 其 他 用 户 : 


UserDir disabled 


UserDir enabled useri user2 user3 


允许 大 多 数 用 户 使 用 userpir 指令， 而 茶 止 一 小 部 分 用 户 : 


UserDir enabled 


UserDir disabled user4 user5 user6 


还 可 以 指定 任 选 其 一 的 (alternative) 用 户 网 站 目录 : 


Userdir public html /usr/web http://www.foo.com/ 


对 http://www.foo.com/~bob/one/two.html 的 请 求 ， 会 首先 尝试 获 
取 "~bob/public_html/one/two.html"， 其 次 是 "/usr/web/bob/one/two.html"， 最 后 产生 一 个 到 
http://www.foo.com/bob/one/two.html 的 重 定向 。 


如 果 要 增加 重 定向 ， 则 必须 放 在 列表 的 最 后 。 因 为 Apache 不 能 判断 重 定向 是 否 成 功 ， 所 以 如 
果 不 放 在 最 后 ， 那 么 它 只 是 一 个 蔡 换 地 址 。 


2.1.4 及 以 后 的 版 本 中 ， 默 认 不 开启 用 户 网 站 目录 。 在 未 设置 userpir 指使 的 情况 下 将 使 
FA" userbir public html "默认 值 。 


Apache 2.2 中 文官 方 文档 


参见 


。 用 户 网 站 目录 
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Apache 模 块 mod usertrack 


说 明 使 用 Session 跟 踪 用 户 (会 发 送 很 多 Cookie)， 以 记录 用 户 的 点 击 流 
状态 扩展 (E) 
模块 名 usertrack_module 


源 文件 mod_usertrack.c 


概述 


Previous releases of Apache have included a module which generates a 'clickstream' log of 
user activity on a site using cookies. This was called the "cookies" module, mod cookies. In 
Apache 1.2 and later this module has been renamed the "user tracking" module, 

mod usertrack. This module has been simplified and new directives added. 


Logging 


Previously, the cookies module (now the user tracking module) did its own logging, using the 
CookieLog directive. In this release, this module does no logging at all. Instead, a 
configurable log format file should be used to log user click-streams. This is possible 
because the logging module now allows multiple log files. The cookie itself is logged by 
using the text %{cookie}n in the log file format. For example: 


CustomLog logs/clickstream "%{cookie}n %r %t" 


For backward compatibility the configurable log module implements the old cookieLog 
directive, but this should be upgraded to the above customLog directive. 


2-digit or 4-digit dates for cookies? 


(the following is from message 
<022701bda43d$9d32bbb0$1 201 a8c0@christian.office.sane.com> in the new-httpd 
archives) 


From: "Christian Allen" <christian@sane.com> 
Subject: Re: Apache Y2K bug in mod usertrack.c 
Date: Tue, 30 Jun 1998 11:41:56 -0400 


Did some work with cookies and dug up some info that might be useful. 


True, Netscape claims that the correct format NOW is four digit dates, and 
four digit dates do in fact work... for Netscape 4.x (Communicator), that 
is. However, 3.x and below do NOT accept them. It seems that Netscape 
originally had a 2-digit standard, and then with all of the Y2K hype and 
probably a few complaints, changed to a four digit date for Communicator. 
Fortunately, 4.x also understands the 2-digit format, and so the best way to 
ensure that your expiration date is legible to the client's browser is to 
use 2-digit dates. 


However, this does not limit expiration dates to the year 2000; if you use 
an expiration year of "13", for example, it is interpreted as 2013, NOT 
1913! In fact, you can use an expiration year of up to "37", and it will be 
understood as "2037" by both MSIE and Netscape versions 3.x and up (not sure 
about versions previous to those). Not sure why Netscape used that 
particular year as its cut-off point, but my guess is that it was in respect 
to UNIX's 2038 problem. Netscape/MSIE 4.x seem to be able to understand 
2-digit years beyond that, at least until "50" for sure (I think they 
understand up until about "70", but not for sure). 


Summary: Mozilla 3.x and up understands two digit dates up until "37" 
(2037). Mozilla 4.x understands up until at least "50" (2050) in 2-digit 
form, but also understands 4-digit years, which can probably reach up until 
9999N. Your best bet for sending a long-life cookie is to send it for some 
time late in the year "37". 


CookieDomain 184 


说 明 The domain to which the tracking cookie applies 
ik CookieDomain domain . 
作用 域 server config, virtual host, directory, .htaccess 
覆盖 项 Filelnfo 
SS 扩展 (E) 
模块 mod usertrack 


This directive controls the setting of the domain to which the tracking cookie applies. If not 
present, no domain is included in the cookie header field. 


The domain string must begin with a dot, and must include at least one embedded dot. That 
is, ".foo.com" is legal, but "foo.bar.com" and ".com" are not. 


CookieExpires 184: 


说 明 
语法 
作用 域 
覆盖 项 
Ts 


模块 


Expiry time for the tracking cookie 
CookieExpires | expiry-period 
server config, virtual host, directory, .htaccess 
Filelnfo 
扩展 (E) 


mod usertrack 


When used, this directive sets an expiry time on the cookie generated by the usertrack 


module. The expiry-period can be given either as a number of seconds, or in the format such 


as "2 weeks 3 days 7 hours". Valid denominations are: years, months, weeks, days, hours, 


minutes and seconds. If the expiry time is in any format other than one number indicating the 
number of seconds, it must be enclosed by double quotes. 


If this directive is not used, cookies last only for the current browser session. 


CookieName 1&4 


说 明 
语法 
默认 值 
作用 域 
fem i 
状态 
模块 


Name of the tracking cookie 


CookieName token 

CookieName Apache 

server config, virtual host, directory, .htaccess 
Filelnfo 

扩展 (E) 


mod usertrack 


This directive allows you to change the name of the cookie this module uses for its tracking 


purposes. By default the cookie is named " Apache " 


You must specify a valid cookie name; results are unpredictable if you use a name 


containing unusual characters. Valid characters include A-Z, a-z, 0-9, " ", and "-". 


CookieStyle 184 


说 明 Format of the cookie header field 


语法 CookieStyle _Netscape&#124;Cookie&#124;Cookie2&#124;RFC2109&#124;RFC2965_ 
默认 值 CookieStyle Netscape 

作用 域 | server config, virtual host, directory, .htaccess 

覆盖 项 Filelnfo 

状态 扩展 (E) 


模块 mod usertrack 


This directive controls the format of the cookie header field. The three formats allowed are: 


e Netscape, which is the original but now deprecated syntax. This is the default, and the 
syntax Apache has historically used. 

e CookiezXRFC2109, which is the syntax that superseded the Netscape syntax. 

e Cookie2zX RFC2965, which is the most current cookie syntax. 


Not all clients can understand all of these formats. but you should use the newest one that is 
generally acceptable to your users' browsers. 


CookieTracking 184 


说 明 Enables tracking cookie 
语法 CookieTracking on&#124; off 
默认 值 CookieTracking off 
作用 域 server config, virtual host, directory, .htaccess 
fem ih Filelnfo 
状态 扩展 (E) 
模块 mod usertrack 


When the user track module is compiled in, and "CookieTracking on" is set, Apache will start 
sending a user-tracking cookie for all new requests. This directive can be used to turn this 
behavior on or off on a per-server or per-directory basis. By default, compiling 

mod usertrack will not activate cookies. 


Apache 模 块 mod version 


说 明 提供 基于 版 本 的 配置 段 支 持 
状态 扩展 (E) 
模块 名 version module 
源 文件 mod version.c 
兼容 性 仅 在 Apache 2.0.56 及 以 后 的 版 本 中 可 用 


概述 


This module is designed for the use in test suites and large networks which have to deal with 
different httpd versions and different configurations. It provides a new container -- 

<IfVersion> , Which allows a flexible version checking including numeric comparisons and 
regular expressions. 


例子 


«IfVersion 2.1.0» 


# current httpd version is exactly 2.1.0 
</IfVersion> 


<IfVersion >= 2.2> 


# use really new features :-) 
</IfVersion> 


See below for further possibilities. 


«IfVersion» 指令 


说 明 contains version dependent configuration 
语法 «IfVersion [[!]operator] version&gt; ... &lt;/IfVersion» 
VF FA server config, virtual host, directory, .htaccess 
覆盖 项 All 
TA 扩展 (E) 


模块 mod version 


<IfVersion> section encloses configuration directives which are executed only if the httpd 
version matches the desired criteria. For normal (numeric) comparisons the version 
argument has the format major[.minor[.patch]] , e.g. 2.1.0 5% 2.2 . minor 和 patch are 
optional. If these numbers are omitted, they are assumed to be zero. The following 
numerical operators are possible: 


operator description 
= 或 == httpd version is equal 
&gt; httpd version is greater than 
&gt;- httpd version is greater or equal 
&1t; httpd version is less than 
&lt;- httpd version is less or equal 


示例 


«IfVersion >= 2.1» 
# this happens only in versions greater or 


# equal 2.1.0. 
</IfVersion> 


Besides the numerical comparison it is possible to match a regular expression against the 
httpd version. There are two ways to write it: 
operator description 
= -- version has the form /regex/ 


S version has the form regex 


示例 


«IfVersion = /^2.1.[01234]$/» 


# e.g. workaround for buggy versions 
«/IfVersion» 


In order to reverse the meaning, all operators can be preceded by an exclamation mark 


(Rin): 


«IfVersion !~ 42.1.[01234]$> 


# not for those versions 
</IfVersion> 


If the operator is omitted, itis assumed to be =. 


Apache 模 块 mod vhost alias 


说 明 提供 大 批量 虚拟 主机 的 动态 配置 支持 
状态 扩展 (E) 
模块 名 vhost alias module 
源 文件 mod vhost alias.c 


概述 


本 模块 通过 将 HTTP 请 求 中 的 IP 地 址 和 /或 " host: " 头 内 容 转 换 为 所 要 提供 服务 的 文件 路 径 名 来 
创建 动态 的 虚拟 主机 配置 。 这 样 的 做 法 ， 使 得 应 用 配置 大 量 相似 的 虚拟 主机 变 得 更 为 容易 。 


~~ = 
LER 


如 果 使 用 mod alias SX mod_userdir 来 将 URI 转 换 为 文件 名 ， 那 么 mod vhost alias 的 设 定 将 
被 覆盖 。 例如 ， 下 面 的 配置 将 始终 把 /cgi-bin/script.pl 映射 
为 /usr/local/apache2/cgi-bin/script.pl o 


ScriptAlias /cgi-bin/ /usr/local/apache2/cgi-bin/ 


VirtualScriptAlias /never/found/960/cgi-bin/ 


目录 名 称 的 转换 


本 模块 中 的 所 有 指使 都 用 于 将 字符 串 蔡 换 为 路 径 名 。 被 替换 的 字符 串 ( 以 后 称 为 "mame") 可 以 是 
服务 器 名 (参见 usecanonicalName 指令 以 了 解决 策 方 法 ) 或 者 是 "点 数字 "格式 的 虚拟 主机 IP 地 
址 。 蔡 换 操作 由 printf 格式 修饰 符 控制 ， 该 修饰 符 有 以 下 几 种 格式 : 
%% 插入 一 个 百 分 号 ( % ) 
%p 插入 虚拟 主机 的 端口 号 
XN .M 插入 名 称 ( 或 者 名 称 的 一 部 分 ) 
N 和 Mm 被 用 来 指定 name 中 的 子 字符 串 。 N 从 name 中 用 小 数 点 分 隔 的 某 部 分 中 选取 ， 


而 M 是 从 N 选中 的 字符 串 中 选取 部 分 字符 。 M 是 可 选 的 且 默 认为 "0" ; 小 数 点 当 且 仅 当 M 存 
在 时 才 必 须 书写 。 蔡 换 操 作 如 下 : 


0 整个 name 


1 第 一 部 分 

2 第 二 部 分 

a 最 后 一 部 分 

-2 到 数 第 二 部 分 

2+ 从 第 二 部 分 开始 到 最 后 的 所 有 部 分 
Bi 倒数 第 二 部 分 以 及 之 前 的 各 部 分 
1+ 和 -1+ 等 同 于 e 


如 果 N 或 m 大 于 部 分 的 个 数 ， 则 简单 的 用 下 划 线 来 替换 。 


示例 
对 于 一 个 简单 的 基于 名 称 的 虚拟 主机 ， 配 置 文件 中 可 能 会 使 用 下 面 的 指 全 : 


UseCanonicalName Off 


VirtualDocumentRoot /usr/local/apache/vhosts/%0 


那么 对 http://www.example.com/directory/file.html 的 请 求 业 会 返回 文 


件 /us r/local/apache/vhosts/www.example.com/directory/file.html 


对 于 拥有 大 量 虚拟 主机 的 情况 而 襄 ， 减 少 vhosts 目录 大 小 的 一 个 好 办 法 就 是 重新 组 织 。 为 此 
你 可 以 使 用 下 面 的 配置 : 


UseCanonicalName Off 


VirtualDocumentRoot /usr/local/apache/vhosts/%3+/%2 .1/962 . 2/962 . 3/962 


那么 对 http://www.domain.example.com/directory/file.html 的 请 求 将 会 返回 文 


{4 /us r/local/apache/vhosts/example.com/d/o/m/domain/directory/file.html 


进一步 的 分 割 可 以 用 name 尾 字符 来 素 引 (hashing)， 例 如 : 


VirtualDocumentRoot /usr/local/apache/vhosts/%3+/%2.-1/%2.-2/%2.-3/%2 


ik 例 返 回 文件 /usr/local/apache/vhosts/example.com/n/i/a/domain/directory/file.html 


也 可 以 这 样 使 用 : 


VirtualDocumentRoot /usr/local/apache/vhosts/%3+/%2.1/%2.2/%2.3/%2.4+ 


B 例 返 回 文件 /usr/local/apache/vhosts/example.com/d/o/m/ain/directory/file.html 


对 于 基于 IP 地 址 的 虚拟 主机 ， 可 以 这 样 配置 : 


UseCanonicalName DNS 
VirtualDocumentRootIP /usr/local/apache/vhosts/%1/%2/%3/%4/docs 


VirtualScriptAliasIP /usr/local/apache/vhosts/%1/%2/%3/%4/cgi-bin 


对 http://www.domain.example.com/directory/file.html 的 请 求 籽 会 返回 文 

件 /usr/1local/apache/vhosts/10/20/30/40/docs/directory/file.html , 这 里 假 
设 www.domain.example.com 的 IP 地 址 为 10.20.30.40。 

对 http://www.domain.example.com/cgi-bin/script.pl 的 请 求 将 会 执行 程 

序 /usr/local/apache/vhosts/10/20/30/40/cgi-bin/script.pl 


如 果 你 希望 在 VirtualDocumentRoot 指令 中 包含 点 字符 ( J; 但 这 又 和 % 指 今 产 生 冲 突 ， 可 以 
这 样 解决 : 


VirtualDocumentRoot /usr/local/apache/vhosts/%2.0.%3.0 


对 http://www.domain.example.com/directory/file.html 的 请 求 将 会 返回 文 


ft. /us r/local/apache/vhosts/domain.example/directory/file.html 


LogFormat 指 倒 的 %V 和 %A 在 和 本 模块 的 协同 中 起 了 一 定 作用 。 


VirtualDocumentRoot i8 4 


说 明 对 于 给 定 的 基于 名 称 的 虚拟 主机 动态 配置 根 文档 目录 
ET VirtualDocumentRoot | interpolated-directory &4124;none 
默认 值 VirtualDocumentRoot none 
VE FA server config, virtual host 
TK 扩展 (E) 
模块 mod vhost alias 


VirtualDocumentRoot 指令 使 Apache 可 以 通过 虚拟 主机 的 域名 找到 相应 的 文档 。 4 

展 interpolated-directory 所 得 到 的 目录 将 会 作为 虚拟 主机 的 根 目录 ， 这 和 DocumentRoot 指令 的 
参数 是 一 样 的 。 a 5&interpolated-directory 7; none , ABZ VirtualDocumentRoot 将 被 关闭 。 该 
指令 不 能 和 virtualpocumentRootIP 指令 在 同一 作用 域 中 使 用 。 


VirtualDocumentRootIP 1&4 


说 明 对 于 给 定 的 基于 IP 的 虚拟 主机 动态 配置 根 文档 目 录 


语法 VirtualDocumentRootIP _interpolated-directory_&#124; none 
默认 值 VirtualDocumentRootIP none 

作用 域 server config, virtual host 

状态 扩展 (E) 

模块 mod vhost alias 


VirtualDocumentRootIP 5 VirtualDocumentRoot 相似 ， 只 是 替换 操作 时 用 的 不 是 虚拟 主机 名 
称 ， 而 是 IP 地 址 。 


VirtualScriptAlias 指令 


说 明 对 于 给 定 的 基于 名 称 的 虚拟 主机 动态 配置 CGI 目录 
ask VirtualScriptAlias _interpolated-directory_&#124;none 
默认 值 VirtualScriptAlias none 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod_vhost_alias 


VirtualScriptAlias 指令 使 Apache 确 定 何 义 存放 的 是 CGI 脚本 ， 这 和 VirtualDocumentRoot 的 
做 法 是 一 样 的 。 它 匹配 请 求 中 的 以 /cgi-bin/ 开始 的 URI， 更 像 " scriptAlias —/cgi-bin/ "的 
作用 。 


VirtualScriptAliasIP 1847 


说 明 对 于 给 定 的 基于 IP 的 虚拟 主机 动态 配置 CGI 目录 
语法 VirtualScriptAliasIP _interpolated-directory_&#124; none 
默认 值 VirtualScriptAliasIP none 
作用 域 server config, virtual host 
状态 扩展 (E) 
模块 mod vhost alias 


VirtualScriptAliasIP 和 VirtualScriptAlias 相似 ， 只 是 替换 操作 使 用 的 不 是 虚拟 主机 名 称 ， 
而 是 IP 地 址 。 


Developer Documentation for Apache 2.0 


Many of the documents on these Developer pages are lifted from Apache 1.3's 
documentation. While they are all being updated to Apache 2.0, they are in different stages 
of progress. Please be patient, and point out any discrepancies or errors on the developer/ 
pages directly to the dev@httopd.apache.org mailing list. 


Topics 


e Apache 1.3 API Notes 

e Apache 2.0 Hook Functions 

e Request Processing in Apache 2.0 

e How filters work in Apache 2.0 

e Converting Modules from Apache 1.3 to Apache 2.0 
e Debugging Memory Allocation in APR 

e Documenting Apache 2.0 

e Apache 2.0 Thread Safety Issues 


External Resources 


e Tools provided by lan Holsman: 
o Apache 2 cross reference 
o Autogenerated Apache 2 code documentation 
e Module Development Tutorials by Kevin O'Donnell 
o Integrating a module into the Apache build system 
o Handling configuration directives 
e Some notes on Apache module development by Ryan Bloom 
e Developer articles at apachetutor include: 
o Request Processing in Apache 
o Configuration for Modules 
o Resource Management in Apache 
o Connection Pooling in Apache 
o Introduction to Buckets and Brigades 


Apache 1.3 API notes 


Warning 


This document has not been updated to take into account changes made in the 2.0 version 
of the Apache HTTP Server. Some of the information may still be relevant, but please use it 
with care. 


These are some notes on the Apache API and the data structures you have to deal with, etc. 
They are not yet nearly complete, but hopefully, they will help you get your bearings. Keep in 
mind that the API is still subject to change as we gain experience with it. (See the TODO file 
for what might be coming). However, it will be easy to adapt modules to any changes that 
are made. (We have more modules to adapt than you do). 


A few notes on general pedagogical style here. In the interest of conciseness, all structure 
declarations here are incomplete -- the real ones have more slots that I'm not telling you 
about. For the most part, these are reserved to one component of the server core or another, 
and should be altered by modules with caution. However, in some cases, they really are 
things | just haven't gotten around to yet. Welcome to the bleeding edge. 


Finally, here's an outline, to give you some bare idea of what's coming up, and in what order: 


e Basic concepts. 
o Handlers, Modules, and Requests 
o A brief tour of a module 
e How handlers work 
o A brief tour of the request rec 
o Where request rec structures come from 
o Handling requests, declining, and returning error codes 
o Special considerations for response handlers 
o Special considerations for authentication handlers 
o Special considerations for logging handlers 
e Resource allocation and resource pools 
e Configuration, commands and the like 
o Per-directory configuration structures 
o Command handling 
o Side notes --- per-server configuration, virtual servers, etc. 


Basic concepts 


We begin with an overview of the basic concepts behind the API, and how they are 
manifested in the code. 


Handlers, Modules, and Requests 


Apache breaks down request handling into a series of steps, more or less the same way the 
Netscape server API does (although this API has a few more stages than NetSite does, as 
hooks for stuff | thought might be useful in the future). These are: 


e URI -> Filename translation 

e Auth ID checking [is the user who they say they are?] 

e Auth access checking [is the user authorized here?] 

e Access checking other than auth 

e Determining MIME type of the object requested 

e 'Fixups' -- there aren't any of these yet, but the phase is intended as a hook for possible 
extensions like setenv , which don't really fit well elsewhere. 

e Actually sending a response back to the client. 

* Logging the request 


These phases are handled by looking at each of a succession of modules, looking to see if 
each of them has a handler for the phase, and attempting invoking it if so. The handler can 
typically do one of three things: 


e Handle the request, and indicate that it has done so by returning the magic constant 
OK . 

e Decline to handle the request, by returning the magic integer constant DECLINED . In this 
case, the server behaves in all respects as if the handler simply hadn't been there. 

e Signal an error, by returning one of the HTTP error codes. This terminates normal 
handling of the request, although an ErrorDocument may be invoked to try to mop up, 
and it will be logged in any case. 


Most phases are terminated by the first module that handles them; however, for logging, 
‘fixups', and non-access authentication checking, all handlers always run (barring an error). 
Also, the response phase is unique in that modules may declare multiple handlers for it, via 
a dispatch table keyed on the MIME type of the requested object. Modules may declare a 
response-phase handler which can handle any request, by giving it the key */* (i.e.,a 
wildcard MIME type specification). However, wildcard handlers are only invoked if the server 
has already tried and failed to find a more specific response handler for the MIME type of the 
requested object (either none existed, or they all declined). 


The handlers themselves are functions of one argument (a request rec structure. vide 
infra), which returns an integer, as above. 


A brief tour of a module 


At this point, we need to explain the structure of a module. Our candidate will be one of the 
messier ones, the CGI module -- this handles both CGI scripts and the scriptAlias config 
file command. It's actually a great deal more complicated than most modules, but if we're 
going to have only one example, it might as well be the one with its fingers in every place. 


Let's begin with handlers. In order to handle the CGI scripts, the module declares a 
response handler for them. Because of scriptAlias , it also has handlers for the name 

translation phase (to recognize scriptAlias ed URIs), the type-checking phase (any 
ScriptAlias ed request is typed as a CGI script). 


The module needs to maintain some per (virtual) server information, namely, the 

ScriptAlias es in effect; the module structure therefore contains pointers to a functions 
which builds these structures, and to another which combines two of them (in case the main 
server and a virtual server both have scriptAlias es declared). 


Finally, this module contains code to handle the scriptAlias command itself. This particular 
module only declares one command, but there could be more, so modules have command 
tables which declare their commands, and describe where they are permitted, and how they 
are to be invoked. 


A final note on the declared types of the arguments of some of these commands: a pool is 
a pointer to a resource pool structure; these are used by the server to keep track of the 
memory which has been allocated, files opened, etc., either to service a particular request, 
or to handle the process of configuring itself. That way, when the request is over (or, for the 
configuration pool, when the server is restarting), the memory can be freed, and the files 
closed, en masse, without anyone having to write explicit code to track them all down and 
dispose of them. Also, a cmd parms structure contains various information about the config 
file being read, and other status information, which is sometimes of use to the function which 
processes a config-file command (such as scriptAlias ). With no further ado, the module 
itself: 


/* Declarations of handlers. */ 
int translate scriptalias (request rec *); 
int type scriptalias (request rec *); 
int cgi handler (request rec *); 
/* Subsidiary dispatch table for response-phase 
* handlers, by MIME type */ 
handler rec cgi handlers[] = { 
{ "application/x-httpd-cgi", cgi handler }, 


( NULL ) 
F; 


/* Declarations of routines to manipulate the 
* module's configuration info. Note that these are 
* returned, and passed in, as void *'s; the server 
* core keeps track of them, but it doesn't, and can't, 
* know their internal structure. 
S 
void *make_cgi_server_config (pool *); 
void *merge_cgi_server_config (pool *, void *, void *); 
/* Declarations of routines to handle config-file commands */ 


extern char *script_alias(cmd_parms *, void *per_dir_config, char *fake, 
char *real); 


command_rec cgi_cmds[] = { 
{ "ScriptAlias", script alias, NULL, RSRC CONF, TAKE2, 
"a fakename and a realname"}, 


{ NULL ) 
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module cgi module = { 


STANDARD MODULE STUFF, NULL, / initializer / NULL, / dir config creator / NULL, / dir 
merger | make cgi server config, / server config | merge cgi server config, / merge server 
config / cgi cmds, / command table / cgi handlers, / handlers / translate scriptalias, / 
filename translation | NULL, / check user id / NULL, / check auth / NULL, / check access / 
type scriptalias, / type checker / NULL, / fixups / NULL, / logger / NULL / header parser / Y; 


How handlers work 


The sole argument to handlers is a request rec structure. This structure describes a 
particular request which has been made to the server, on behalf of a client. In most cases, 
each connection to the client generates only one request rec Structure. 


A brief tour of the request rec 


request rec contains pointers to a resource pool which will be cleared when the server is 
finished handling the request; to structures containing per-server and per-connection 
information, and most importantly, information on the request itself. 


The most important such information is a small set of character strings describing attributes 
of the object being requested, including its URI, filename, content-type and content-encoding 
(these being filled in by the translation and type-check handlers which handle the request, 
respectively). 


Other commonly used data items are tables giving the MIME headers on the client's original 
request, MIME headers to be sent back with the response (which modules can add to at 
will), and environment variables for any subprocesses which are spawned off in the course 
of servicing the request. These tables are manipulated using the ap table get and 

ap table set routines. 


Note that the content-type header value cannot be set by module content-handlers using 
the ap table *() routines. Rather, it is set by pointing the content type field in the 
request rec Structure to an appropriate string. 例如 ， 


r-»content type - "text/html"; 


Finally, there are pointers to two data structures which, in turn, point to per-module 
configuration structures. Specifically, these hold pointers to the data structures which the 
module has built to describe the way it has been configured to operate in a given directory 
(via .htaccess files or <Directory> sections), for private data it has built in the course of 
servicing the request (so modules' handlers for one phase can pass 'notes' to their handlers 
for other phases). There is another such configuration vector in the server rec data 
structure pointed to by the request rec , which contains per (virtual) server configuration 
data. 


Here is an abridged declaration, giving the fields most commonly used: 


struct request rec { 
pool *pool; 
conn rec *connection; 
server rec *server; 
/* what object is being requested */ 
char *uri; 
char *filename; 


char *path info; 


char args; / QUERY ARGS, if any / struct stat finfo; / Set by server core; 


* st mode set to zero if no such file */ 


"char *content type; 
char *content encoding; 
/* MIME header environments, in and out. Also, 
* an array containing environment variables to 
* be passed to subprocesses, so people can write 


* modules to add to that environment. 


* The difference between headers out and 

* err headers out is that the latter are printed 
* even on error, and persist across internal 

* redirects (so the headers printed for 


*^ "ErrorDocument' handlers will have 
them). 


vA 
table *headers in; 
table *headers out; 
table *err headers out; 
table *subprocess env; 


/* Info about the request itself... */ 


int headeronly; / HEAD request, as opposed to GET / char protocol; / Protocol, as given to 
us, or HTTP/0O.9 / char method; /* GET, HEAD, POST, etc. / int method number; / MGET, 
M POST, etc. */ 


^/* Info for logging */ 

char *the request; 

int bytes sent; 

/* A flag which modules can set, to indicate that 
* the data being returned is volatile, and clients 
* should be told not to cache it. 

57, 

int no cache; 

/* Various other config info which may change 
* with .htaccess files 
* These are config vectors, with one void* 

* pointer for each module (the thing pointed 
* to being the module's business). 


uA 


void per dir config; / Options set in config files, etc. / void request config; / Notes on this 
request / 


EE 
### “Where request rec structures come from^ 


Most "request rec! structures are built by reading an HTTP 
request from a client, and filling in the fields. However, there are a 
few exceptions: 


x If the request is to an imagemap, a type map (_i.e., a 
^*.var' file), or a CGI script which returned a local 
'Location:', then the resource which the user requested is going to be 
ultimately located by some URI other than what the client originally 
supplied. In this case, the server does an internal redirect , 
constructing a new "request rec! for the new URI, and 
processing it almost exactly as if the client had requested the new URI 
directly. 


= If some handler signaled an error, and an “ErrorDocument ~ 
is in scope, the same internal redirect machinery comes into play. 


ig Finally, a handler occasionally needs to investigate 'what would 
happen if' some other request were run. For instance, the directory 
indexing module needs to know what MIME type would be assigned to a 
request for each directory entry, in order to figure out what icon to 
use. 


Such handlers can construct a _sub-request_, using the 
functions 'ap sub req lookup file', 
^ap sub req lookup uri', and 'ap sub req method uri'; 
these construct a new "request rec' structure and processes it 
as you would expect, up to but not including the point of actually sending 
a response. (These functions skip over the access checks if the 
sub-request is for a file in the same directory as the original 
request). 











(Server-side includes work by building sub-requests and then actually 
invoking the response handler for them, via the function 
^ap run sub req ). 


### &lt;a name-'"req return" id="calibre_link-432" class="pcalibrei calibre22 pcalibre3 pc 
error codes&lt;/a&gt; 


As discussed above, each handler, when invoked to handle a particular 
*request_rec’, has to return an ‘int to indicate 
what happened. That can either be 


x `OK` -- the request was handled successfully. This may or 
may not terminate the phase. 


* "DECLINED' -- no erroneous condition exists, but the module 
declines to handle the phase; the server tries to find another. 


i. an HTTP error code, which aborts handling of the request. 


Note that if the error code returned is "REDIRECT' , then 
the module should put a “Location ”in the request's 
"headers out^, to indicate where the client should be 
redirected to. 


### &lt;a name-"resp handlers" id-"calibre link-433" class="pcalibre1 calibre22 pcalibre3 
handlers&lt;/a&gt; 


Handlers for most phases do their work by simply setting a few fields 
in the 'request rec! structure (or, in the case of access 
checkers, simply by returning the correct error code). However, response 
handlers have to actually send a request back to the client. 


They should begin by sending an HTTP response header, using the 
function '^ap send http header'. (You don't have to do anything 
special to skip sending the header for HTTP/0.9 requests; the function 
figures out on its own that it shouldn't do anything). If the request is 
marked ^header only', that's all they should do; they should 
return after that, without attempting any further output. 


Otherwise, they should produce a request body which responds to the 
client as appropriate. The primitives for this are 'ap rputc^ 
and ^ap rprintf', for internally generated output, and 
'ap send fd', to copy the contents of some "FILE *^ 
straight to the client. 


At this point, you should more or less understand the following piece 
of code, which is the handler which handles ‘GET requests 
which have no more specific handler; it also shows how conditional 
`GET`s can be handled, if it's desirable to do so in a 
particular response handler -- 'ap set last modified' checks 
against the ^"If-modified-since' value supplied by the client, 
if any, and returns an appropriate code (which will, if nonzero, be 
USE LOCAL COPY). No similar considerations apply for 
'ap set content length, but it returns an error code for 
symmetry. 


[| ESE 





int default handler (request rec *r) 


t 


int errstatus; 


FILE *f; 
if (r-»method number !- M GET) return DECLINED; 
if (r-»finfo.st mode == 0) return NOT FOUND; 


if ((errstatus = ap set content length (r, r->finfo.st_size)) 


(errstatus = ap set last modified (r, r->finfo.st_mtime) ) ) 
return errstatus; 
f = fopen (r->filename, "r"); 


if (f == NULL) { 


log reason("file permissions deny server access", r->filename, r); 


return FORBIDDEN; 
} 


register timeout ("send", r); 

ap send http header (r); 

if (!r-»header only) send fd (f, r); 
ap. pfclose (r-»pool, f); 


return OK; 


Finally, if all of this is too much of a challenge, there are a few 
ways out of it. First off, as shown above, a response handler which has 
not yet produced any output can simply return an error code, in which 
case the server will automatically produce an error response. Secondly, 
it can punt to some other handler by invoking 
"ap internal redirect', which is how the internal redirection 
machinery discussed above is invoked. A response handler which has 
internally redirected should always return 'OK'. 


(Invoking 'ap internal redirect' from handlers which are 
.not response handlers will lead to serious confusion). 


### &lt;a name-'"auth handlers" id="calibre_link-434" class="pcalibre1 calibre22 pcalibre3 
handlers&lt;/a&gt; 


Stuff that should be discussed here in detail: 


is Authentication-phase handlers not invoked unless auth is 
configured for the directory. 


x Common auth configuration stored in the core per-dir 
configuration; it has accessors 'ap auth type', 
^ap auth name', and '^ap requires'. 


* Common routines, to handle the protocol end of things, at 
least for HTTP basic authentication 
( ap_get_basic_auth_pw`, which sets the 
"connection-&gt;user'^ structure field 
automatically, and '^ap note basic auth failure', 
which arranges for the proper "Www-Authenticate:' 
header to be sent back). 








### &lt;a name-"log handlers" id="calibre_link-435" class="pcalibre1 calibre22 pcalibre3 
handlers&lt;/a&gt; 


When a request has internally redirected, there is the question of 
what to log. Apache handles this by bundling the entire chain of redirects 
into a list of "request rec' structures which are threaded 
through the ^r-&gt;prev' and '^r-&gt;next' pointers. 
The "request rec! which is passed to the logging handlers in 
such cases is the one which was originally built for the initial request 
from the client; note that the "bytes sent' field will only be 
correct in the last request in the chain (the one for which a response was 
actually sent). 


于 





Resource allocation and resource pools 


One of the problems of writing and designing a server-pool server is that of preventing 
leakage, that is, allocating resources (memory, open files, efc.), without subsequently 
releasing them. The resource pool machinery is designed to make it easy to prevent this 
from happening, by allowing resource to be allocated in such a way that they are 
automatically released when the server is done with them. 


The way this works is as follows: the memory which is allocated, file opened, etc., to deal 
with a particular request are tied to a resource pool which is allocated for the request. The 
pool is a data structure which itself tracks the resources in question. 


When the request has been processed, the pool is cleared. At that point, all the memory 
associated with it is released for reuse, all files associated with it are closed, and any other 
clean-up functions which are associated with the pool are run. When this is over, we can be 
confident that all the resource tied to the pool have been released, and that none of them 
have leaked. 


Server restarts, and allocation of memory and resources for per-server configuration, are 
handled in a similar way. There is a configuration pool, which keeps track of resources which 
were allocated while reading the server configuration files, and handling the commands 
therein (for instance, the memory that was allocated for per-server module configuration, log 
files and other files that were opened, and so forth). When the server restarts, and has to 
reread the configuration files, the configuration pool is cleared, and so the memory and file 
descriptors which were taken up by reading them the last time are made available for reuse. 


It should be noted that use of the pool machinery isn't generally obligatory, except for 
situations like logging handlers, where you really need to register cleanups to make sure that 
the log file gets closed when the server restarts (this is most easily done by using the 
function ap pfopen , which also arranges for the underlying file descriptor to be closed 
before any child processes, such as for CGI scripts, are exec ed), or in case you are using 
the timeout machinery (which isn't yet even documented here). However, there are two 
benefits to using it: resources allocated to a pool never leak (even if you allocate a scratch 
string, and just forget about it); also, for memory allocation, ap palloc is generally faster 
than malloc . 


We begin here by describing how memory is allocated to pools, and then discuss how other 
resources are tracked by the resource pool machinery. 


Allocation of memory in pools 


Memory is allocated to pools by calling the function ap_palloc , which takes two arguments, 
one being a pointer to a resource pool structure, and the other being the amount of memory 
to allocate (in char s). Within handlers for handling requests, the most common way of 
getting a resource pool structure is by looking at the pool slot of the relevant request rec ; 
hence the repeated appearance of the following idiom in module code: 


int my handler(request rec *r) 


t 


struct my structure *foo; 


foo = (foo *)ap palloc (r->pool, sizeof(my structure)); 


} 


Note that there is nO ap_pfree -- ap palloc ed memory is freed only when the associated 
resource pool is cleared. This means that ap palloc does not have to do as much 
accounting as malloc() ; all it does in the typical case is to round up the size, bump a 
pointer, and do a range check. 


(It also raises the possibility that heavy use of ap palloc could cause a server process to 
grow excessively large. There are two ways to deal with this, which are dealt with below; 
briefly, you can use malloc , and try to be sure that all of the memory gets explicitly free d, 
or you can allocate a sub-pool of the main pool, allocate your memory in the sub-pool, and 
clear it out periodically. The latter technique is discussed in the section on sub-pools below, 
and is used in the directory-indexing code, in order to avoid excessive storage allocation 
when listing directories with thousands of files). 


Allocating initialized memory 


There are functions which allocate initialized memory, and are frequently useful. The 
function ap pcalloc has the same interface as ap palloc , but clears out the memory it 
allocates before it returns it. The function ap pstrdup takes a resource pool and a char * 
as arguments, and allocates memory for a copy of the string the pointer points to, returning a 
pointer to the copy. Finally ap pstrcat is a varargs-style function, which takes a pointer to a 
resource pool, and atleast two char * arguments, the last of which must be NULL . It 
allocates enough memory to fit copies of each of the strings, as a unit; for instance: 


ap pstrcat (r->pool, "foo", "/", "bar", NULL); 
returns a pointer to 8 bytes worth of memory, initialized to "foo/bar" . 


Commonly-used pools in the Apache Web server 


A pool is really defined by its lifetime more than anything else. There are some static pools in 
http main which are passed to various non-http main functions as arguments at opportune 
times. Here they are: 


permanent pool 


never passed to anything else, this is the ancestor of all pools 


pconf 


e subpool of permanent pool 

e created at the beginning of a config "cycle"; exists until the server is terminated or 
restarts; passed to all config-time routines, either via cmd-»pool, or as the "pool *p" 
argument on those which don't take pools 

e passed to the module init() functions 


ptemp 


e sorry | lie, this pool isn't called this currently in 1.3, | renamed it this in my pthreads 
development. I'm referring to the use of ptrans in the parent... contrast this with the later 
definition of ptrans in the child. 

e subpool of permanent pool 

e created at the beginning of a config "cycle"; exists until the end of config parsing; 
passed to config-time routines via cmd->temp_ pool. Somewhat of a "bastard child" 
because it isn't available everywhere. Used for temporary scratch space which may be 
needed by some config routines but which is deleted at the end of config. 


pchild 


e subpool of permanent pool 

e created when a child is spawned (or a thread is created); lives until that child (thread) is 
destroyed 

e passed to the module child init functions 

e destruction happens right after the child exit functions are called... (which may explain 
why I think child exit is redundant and unneeded) 


ptrans 


e should be a subpool of pchild, but currently is a subpool of permanent pool, see above 
e cleared by the child before going into the accept() loop to receive a connection 
e used as connection->pool 


r-&gt;pool 


e for the main request this is a subpool of connection->pool; for subrequests it is a 
subpool of the parent request's pool. 

e exists until the end of the request (/.e., ap destroy sub req, or in child main after 
process request has finished) 

e note that r itself is allocated from r->pool; i.e., r->pool is first created and then r is the 
first thing palloc()d from it 


For almost everything folks do, r-&gt;pool is the pool to use. But you can see how other 
lifetimes, such as pchild, are useful to some modules... such as modules that need to open a 
database connection once per child, and wish to clean it up when the child dies. 


You can also see how some bugs have manifested themself, such as setting 
connection-&gt;user to a value from r-&gt;pool --in this case connection exists for the 

lifetime of ptrans , which is longer than r-&gt;pool (especially if r-&gt;pool isa 

subrequest!). So the correct thing to do is to allocate from connection-&gt;pool . 


And there was another interesting bug in mod include / mod cgi . You'll see in those that 
they do this test to decide if they should use r-&gt;pool Or r-&gt;main-&gt;pool . In this 
case the resource that they are registering for cleanup is a child process. If it were registered 
in r-&gt;pool , then the code would wait() forthe child when the subrequest finishes. 

With mod_include this could be any old #include , and the delay can be up to 3 seconds... 
and happened quite frequently. Instead the subprocess is registered in r-&gt;main-&gt;pool 
which causes it to be cleaned up when the entire request is done -- i.e., after the output has 
been sent to the client and logging has happened. 


Tracking open files, etc. 


As indicated above, resource pools are also used to track other sorts of resources besides 
memory. The most common are open files. The routine which is typically used for this is 

ap. pfopen , Which takes a resource pool and two strings as arguments; the strings are the 
same as the typical arguments to  fopen ,例如 ， 


FILE *f = ap pfopen (r->pool, r->filename, "r"); 


de SENE MMC CN M 


There is also a ap popenf routine, which parallels the lower-level open system call. Both of 
these routines arrange for the file to be closed when the resource pool in question is cleared. 


Unlike the case for memory, there are functions to close files allocated with ap pfopen , and 
ap popenf , namely ap pfclose and ap pclosef .(This is because, on many systems, the 

number of files which a single process can have open is quite limited). It is important to use 

these functions to close files allocated with ap pfopen and ap popenf , since to do 

otherwise could cause fatal errors on systems such as Linux, which react badly if the same 
FILE* is closed more than once. 


(Using the close functions is not mandatory, since the file will eventually be closed 
regardless, but you should consider it in cases where your module is opening, or could 
open, a lot of files). 


Other sorts of resources -- cleanup functions 


More text goes here. Describe the the cleanup primitives in terms of which the file stuff is 
implemented; also, spawn process . 


Pool cleanups live until ciear pool() is called: clear pool(a) recursively calls 

destroy pool() On all subpools of a ; then calls all the cleanups for a ; then releases all 
the memory for a . destroy pool(a) Calls clear pool(a) and then releases the pool 
structure itself. i.e., clear pool(a) doesn't delete a , it just frees up all the resources and 
you can start using it again immediately. 


Fine control -- creating and dealing with sub-pools, with a 
note on sub-requests 


On rare occasions, too-free use of ap palloc() and the associated primitives may result in 
undesirably profligate resource allocation. You can deal with such a case by creating a sub- 
pool, allocating within the sub-pool rather than the main pool, and clearing or destroying the 
sub-pool, which releases the resources which were associated with it. (This really is a rare 
situation; the only case in which it comes up in the standard module set is in case of listing 
directories, and then only with very large directories. Unnecessary use of the primitives 
discussed here can hair up your code quite a bit, with very little gain). 


The primitive for creating a sub-pool is ap make sub pool , which takes another pool (the 
parent pool) as an argument. When the main pool is cleared, the sub-pool will be destroyed. 
The sub-pool may also be cleared or destroyed at any time, by calling the functions 

ap clear pool and ap destroy pool , respectively. (The difference is that ap clear pool 
frees resources associated with the pool, while ap destroy pool also deallocates the pool 
itself. In the former case, you can allocate new resources within the pool, and clear it again, 
and so forth; in the latter case, it is simply gone). 


One final note -- sub-requests have their own resource pools, which are sub-pools of the 
resource pool for the main request. The polite way to reclaim the resources associated with 
a sub request which you have allocated (using the ap sub req ... functions) is 

ap destroy sub req , Which frees the resource pool. Before calling this function, be sure to 
copy anything that you care about which might be allocated in the sub-request's resource 
pool into someplace a little less volatile (for instance, the filename in its request rec 
structure). 


(Again, under most circumstances, you shouldn't feel obliged to call this function; only 2K of 
memory or so are allocated for a typical sub request, and it will be freed anyway when the 
main request pool is cleared. It is only when you are allocating many, many sub-requests for 
a single main request that you should seriously consider the ap destroy ... functions). 


Configuration, commands and the like 


One of the design goals for this server was to maintain external compatibility with the NCSA 
1.3 server --- that is, to read the same configuration files, to process all the directives therein 
correctly, and in general to be a drop-in replacement for NCSA. On the other hand, another 
design goal was to move as much of the server's functionality into modules which have as 
little as possible to do with the monolithic server core. The only way to reconcile these goals 
is to move the handling of most commands from the central server into the modules. 


However, just giving the modules command tables is not enough to divorce them completely 
from the server core. The server has to remember the commands in order to act on them 
later. That involves maintaining data which is private to the modules, and which can be 
either per-server, or per-directory. Most things are per-directory, including in particular 
access control and authorization information, but also information on how to determine file 
types from suffixes, which can be modified by Addrype and Defaultrype directives, and so 
forth. In general, the governing philosophy is that anything which can be made configurable 
by directory should be; per-server information is generally used in the standard set of 
modules for information like Alias es and Redirect s which come into play before the 
request is tied to a particular place in the underlying file system. 


Another requirement for emulating the NCSA server is being able to handle the per-directory 
configuration files, generally called .htaccess files, though even in the NCSA server they 
can contain directives which have nothing at all to do with access control. Accordingly, after 
URI -> filename translation, but before performing any other phase, the server walks down 
the directory hierarchy of the underlying filesystem, following the translated pathname, to 
read any .htaccess files which might be present. The information which is read in then has 
to be merged with the applicable information from the server's own config files (either from 
the «Directory» sections in access.conf , or from defaults in srm.conf , which actually 
behaves for most purposes almost exactly like <Directory /» ). 


Finally, after having served a request which involved reading .htaccess files, we need to 
discard the storage allocated for handling them. That is solved the same way it is solved 
wherever else similar problems come up, by tying those structures to the per-transaction 
resource pool. 


Per-directory configuration structures 


Let's look out how all of this plays out in mod mime.c , which defines the file typing handler 
which emulates the NCSA server's behavior of determining file types from suffixes. What 
we'll be looking at, here, is the code which implements the Addtype and AddEncoding 


commands. These commands can appear in .htaccess files, so they must be handled in 
the module's private per-directory data, which in fact, consists of two separate tables for 
MIME types and encoding information, and is declared as follows: 


typedef struct { 
table *forced_types; /* Additional AddTyped stuff */ 
table *encoding types; /* Added with AddEncoding... */ 
) mime dir config; 


When the server is reading a configuration file, or «pirectory» section, which includes one 
of the MIME module's commands, it needs to create a mime dir config structure, so those 
commands have something to act on. It does this by invoking the function it finds in the 
module's 'create per-dir config slot', with two arguments: the name of the directory to which 
this configuration information applies (or NULL for srm.conf ), and a pointer to a resource 
pool in which the allocation should happen. 


(If we are reading a .htaccess file, that resource pool is the per-request resource pool for 
the request; otherwise it is a resource pool which is used for configuration data, and cleared 
on restarts. Either way, it is important for the structure being created to vanish when the pool 
is cleared, by registering a cleanup on the pool if necessary). 


For the MIME module, the per-dir config creation function just ap palloc s the structure 
above, and a creates a couple of tables to fill it. That looks like this: 


void *create mime dir config (pool *p, char *dummy) 


{ 
mime_dir_config *new = 
(mime dir config *) ap_palloc (p, sizeof(mime dir config)); 
new-»-forced types = ap make table (p, 4); 
new-»-encoding types = ap make table (p, 4); 


return new; 


} 


Now, suppose we've just read ina .htaccess file. We already have the per-directory 
configuration structure for the next directory up in the hierarchy. If the .htaccess file we just 
read in didn't have any AddType Or AddEncoding commands, its per-directory config 
structure for the MIME module is still valid, and we can just use it. Otherwise, we need to 
merge the two structures somehow. 


To do that, the server invokes the module's per-directory config merge function, if one is 
present. That function takes three arguments: the two structures being merged, and a 
resource pool in which to allocate the result. For the MIME module, all that needs to be done 
is overlay the tables from the new per-directory config structure with those from the parent: 


void *merge mime dir configs (pool *p, void *parent dirv, void *subdirv) 
{ 
mime_dir_config *parent_dir = (mime_dir_config *)parent_dirv; 
mime_dir_config *subdir = (mime_dir_config *)subdirv; 
mime dir config *new = 
(mime dir config *)ap palloc (p, sizeof(mime dir config)); 
new-»-forced types = ap overlay tables (p, subdir-»forced types, 


parent dir-»-forced types); 
new-»-encoding types = ap overlay tables (p, subdir-»-encoding types, 


parent dir-»-encoding types); 


return new; 


} 


As a note -- if there is no per-directory merge function present, the server will just use the 
subdirectory's configuration info, and ignore the parent's. For some modules, that works just 
fine (例如 ，for the includes module, whose per-directory configuration information consists 
solely of the state of the xBrrHAck ), and for those modules, you can just not declare one, 
and leave the corresponding structure slot in the module itself NULL . 


Command handling 


Now that we have these structures, we need to be able to figure out how to fill them. That 
involves processing the actual Addrype and AddEncoding commands. To find commands, 
the server looks in the module's command table. That table contains information on how 
many arguments the commands take, and in what formats, where it is permitted, and so 
forth. That information is sufficient to allow the server to invoke most command-handling 
functions with pre-parsed arguments. Without further ado, let's look at the addtype 
command handler, which looks like this (the AddEncoding command looks basically the 
same, and won't be shown here): 


char *add type(cmd parms *cmd, mime dir config *m, char *ct, char *ext) 
{ 
dhe (ext DL EO 
ap_table_set (m->forced_types, ext, ct); 


return NULL; 


This command handler is unusually simple. As you can see, it takes four arguments, two of 
which are pre-parsed arguments, the third being the per-directory configuration structure for 
the module in question, and the fourth being a pointer to a cmd parms structure. That 


structure contains a bunch of arguments which are frequently of use to some, but not all, 
commands, including a resource pool (from which memory can be allocated, and to which 
cleanups should be tied), and the (virtual) server being configured, from which the module's 
per-server configuration data can be obtained if required. 


Another way in which this particular command handler is unusually simple is that there are 
no error conditions which it can encounter. If there were, it could return an error message 
instead of NULL ; this causes an error to be printed out on the server's stderr , followed by 
a quick exit, if it is in the main config files; for a .htaccess file, the syntax error is logged in 
the server error log (along with an indication of where it came from), and the request is 
bounced with a server error response (HTTP error status, code 500). 


The MIME module's command table has entries for these commands, which look like this: 


command rec mime cmds[] = { 
( "AddType", add type, NULL, OR FILEINFO, TAKE2, 
"a mime type followed by a file extension" }, 
1 "AddEncoding", add encoding, NULL, OR FILEINFO, TAKE2, 


"an encoding (20, gzip), followed by a file extension" }, 
{ NULL } 
}; 


The entries in these tables are: 


e The name of the command 

e The function which handles it 

* a (void *) pointer, which is passed in the cmd parms structure to the command 
handler --- this is useful in case many similar commands are handled by the same 
function. 

e A bit mask indicating where the command may appear. There are mask bits 
corresponding to each AllowOverride option, and an additional mask bit, RsRC CONF , 
indicating that the command may appear in the server's own config files, but not in any 

.htaccess file. 

e Aflag indicating how many arguments the command handler wants pre-parsed, and 
how they should be passed in. TAKE2 indicates two pre-parsed arguments. Other 
options are TAKE1 , which indicates one pre-parsed argument, FLAG , which indicates 
that the argument should be on or off , and is passed in as a boolean flag, 

RAW ARGS , Which causes the server to give the command the raw, unparsed arguments 
(everything but the command name itself). There is also ITERATE , which means that 
the handler looks the same as TAKE1 , but that if multiple arguments are present, it 
should be called multiple times, and finally rr&RATE2 , which indicates that the 
command handler looks like a TAkE2 , but if more arguments are present, then it should 


be called multiple times, holding the first argument constant. 

e Finally, we have a string which describes the arguments that should be present. If the 
arguments in the actual config file are not as required, this string will be used to help 
give a more specific error message. (You can safely leave this NULL ). 


Finally, having set this all up, we have to use it. This is ultimately done in the module's 
handlers, specifically for its file-typing handler, which looks more or less like this; note that 
the per-directory configuration structure is extracted from the request rec 's per-directory 
configuration vector by using the ap get module config function. 


int find ct(request rec *r) 
{ 
int i; 
char *fn = ap pstrdup (r->pool, r->filename); 
mime dir config *conf - (mime dir config *) 


ap get module config(r-»per dir config, &mime module); 
char *type; 


if (S ISDIR(r-»finfo.st mode)) { 
r-»content type = DIR MAGIC TYPE; 


return OK; 


j 
if((i=ap_rind(fn,'.')) < 0) return DECLINED; 
Tti; 
if ((type = ap table get (conf-»-encoding types, &fn[i]))) 
{ 
r->content_encoding = type; 
/* go back to previous extension to try to use it as a type */ 
fn[i-1] = 'N9'; 
if((i=ap_rind(fn,'.')) « 0) return OK; 


tti; 
j 
if ((type = ap table get (conf-»forced types, &fn[i]))) 


( 


r-»content type = type; 


return OK; 


} 


Side notes -- per-server configuration, virtual servers, etc. 


The basic ideas behind per-server module configuration are basically the same as those for 
per-directory configuration; there is a creation function and a merge function, the latter being 
invoked where a virtual server has partially overridden the base server configuration, and a 
combined structure must be computed. (As with per-directory configuration, the default if no 
merge function is specified, and a module is configured in some virtual server, is that the 
base configuration is simply ignored). 


The only substantial difference is that when a command needs to configure the per-server 
private module data, it needs to go to the cmd parms data to get at it. Here's an example, 
from the alias module, which also indicates how a syntax error can be returned (note that the 
per-directory configuration argument to the command handler is declared as a dummy, since 
the module doesn't actually have per-directory config data): 


char *add redirect(cmd parms *cmd, void *dummy, char *f, char *url) 
server rec *s - cmd-»server; 
alias server conf *conf - (alias server conf *) 


ap get module config(s-»module config,&alias module); 
alias entry *new - ap push array (conf-»redirects); 


if (!ap is url (url)) return "Redirect to non-URL"; 
new->fake = f; new-»real = url; 


return NULL; 
} 


Avan 


Debugging Memory Allocation in APR 


The allocation mechanisms within APR have a number of debugging modes that can be 
used to assist in finding memory problems. This document describes the modes available 
and gives instructions on activating them. 


Available debugging options 


Allocation Debugging - ALLOC DEBUG 


Debugging support: Define this to enable code which helps detect re-use of free() d 
memory and other such nonsense. 


The theory is simple. The FILL_BYTE ( oxas ) is written over all malloc 'd memory as we 
receive it, and is written over everything that we free up during a clear pool . We check that 
blocks on the free list always have the FILL_BYTE in them, and we check during palloc() 
that the bytes still have FILL_BYTE in them. If you ever see garbage URLs or whatnot 
containing lots of exas s then you know something used data that's been freed or 
uninitialized. 


Malloc Support - ALLOC USE MALLOC 


If defined all allocations will be done with malloc() and free() d appropriately at the end. 


This is intended to be used with something like Electric Fence or Purify to help detect 
memory problems. Note that if you're using efence then you should also add in 

ALLOC DEBUG . But don't add in ALLoc pEBuc if you're using Purify because ALLoc pEBUG 
would hide all the uninitialized read errors that Purify can diagnose. 


Pool Debugging - POOL DEBUG 


This is intended to detect cases where the wrong pool is used when assigning data to an 
object in another pool. 


In particular, it causes the table (set,add,mergejn routines to check that their arguments 
are safe for the apr table t they're being placed in. It currently only works with the unix 
multiprocess model, but could be extended to others. 


Table Debugging - MAKE TABLE PROFILE 


Provide diagnostic information about make table() calls which are possibly too small. 


This requires a recent gcc which supports _ builtin return address() . The error log output 
will be a message such as: 


table push: apr table t created by 0x804d874 hit limit of 10 


Use 1 *0x804d874 to find the source that corresponds to. It indicates that a apr table t 
allocated by a call at that address has possibly too small an initial apr table t size guess. 


Allocation Statistics - ALLOC STATS 


Provide some statistics on the cost of allocations. 


This requires a bit of an understanding of how alloc.c works. 


Allowable Combinations 


Not all the options outlined above can be activated at the same time. the following table 
gives more information. 


ALLOC ALLOC USE POOL MAKE TABLE ALLOC 
DEBUG MALLOC DEBUG PROFILE STATS 
ALLOC 
DEBUG - No Yes Yes Yes 
ALLOC USE 
MALLOC No - No No No 
POOL DEBUG Yes No - Yes Yes 
MAKE TABLE 
PROFILE Yes No Yes - Yes 
ALLOC STATS Yes No Yes Yes - 


Additionally the debugging options are not suitable for multi-threaded versions of the server. 
When trying to debug with these options the server should be started in single process 
mode. 


Activating Debugging Options 


The various options for debugging memory are now enabled in the apr general.n header 
file in APR. The various options are enabled by uncommenting the define for the option you 
wish to use. The section of the code currently looks like this (contained in 


srclib/apr/include/apr pools.h) 


/* 
#define ALLOC DEBUG 
#define POOL DEBUG 
#define ALLOC USE MALLOC 
#define MAKE TABLE PROFILE 
#define ALLOC STATS 
s% 
typedef struct ap_pool_t { 
union block_hdr *first; 
union block_hdr *last; 
struct cleanup *cleanups; 
struct process_chain *subprocesses; 
struct ap_pool_t *sub_pools; 
struct ap_pool_t *sub_next; 
struct ap_pool_t *sub_prev; 
struct ap_pool_t *parent; 


char *free_first_avail; 
#ifdef ALLOC_USE_MALLOC 


void *allocation_list; 
#endif 


#ifdef POOL_DEBUG 


struct ap_pool_t *joined; 
#endif 


int (*apr_abort)(int retcode); 


struct datastruct *prog_data; 
) ap pool t; 


To enable allocation debugging simply move the «define ALLoc pEBUe above the start of the 
comments block and rebuild the server. 


Note 


In order to use the various options the server must be rebuilt after editing the header file. 


Documenting Apache 2.0 


Apache 2.0 uses Doxygen to document the APIs and global variables in the the code. This 
will explain the basics of how to document using Doxygen. 


Brief Description 


To start a documentation block, use /** To end a documentation block, use */ 


In the middle of the block, there are multiple tags we can use: 


Description of this functions purpose 
@param parameter name description 
@return description 


Qdeffunc signature of the function 


deffunc is not always necessary. DoxyGen does not have a full parser in it, so any 
prototype that use a macro in the return type declaration is too complex for scandoc. Those 
functions require a deffunc . An example (using > rather than >): 


Jee 
* return the final element of the pathname 

* @param pathname The path to get the final element of 
* @return the final element of the path 


* @tip Examples: 


* <pre> 

ig "/foo/bar/gum" -» "gum" 

S "/foo/bar/gum/" -> "" 

ba "gum" -> "gum" 

5 "wi\\n32\\stuff" -> "stuff" 
* </pre> 


* @deffunc const char * ap filename of pathname(const char *pathname) 


A 


At the top of the header file, always include: 


EXER 
* package Name of library header 


ll 


Doxygen uses a new HTML file for each package. The HTML files are named 
(Name of library headerj.html, so try to be concise with your names. 


For a further discussion of the possibilities please refer to the Doxygen site. 


Apache 2.0 Hook Functions 


Warning 


This document is still in development and may be partially out of date. 


In general, a hook function is one that Apache will call at some point during the processing 
of a request. Modules can provide functions that are called, and specify when they get called 
in comparison to other modules. 


Creating a hook function 


In order to create a new hook, four things need to be done: 


Declare the hook function 


Use the AP pEcLARE Hook macro, which needs to be given the return type of the hook 
function, the name of the hook, and the arguments. For example, if the hook returns an int 
and takes a request rec * andan int andis called do something , then declare it like 
this: 


AP DECLARE HOOK(int, do something, (request rec *r, int n)) 
This should go in a header which modules will include if they want to use the hook. 


Create the hook structure 


Each source file that exports a hook has a private structure which is used to record the 
module functions that use the hook. This is declared as follows: 


APR HOOK STRUCT( 


APR HOOK LINK(do something) 


Implement the hook caller 


The source file that exports the hook has to implement a function that will call the hook. 
There are currently three possible ways to do this. In all cases, the calling function is called 


ap run hookname() 


Void hooks 


If the return value of a hook is void , then all the hooks are called, and the caller is 
implemented like this: 


AP IMPLEMENT HOOK VOID(do something, (request rec *r, int n), (r, n)) 


The second and third arguments are the dummy argument declaration and the dummy 
arguments as they will be used when calling the hook. In other words, this macro expands to 
something like this: 


void ap run do something(request rec *r, int n) 


{ 


do_something(r, n); 


} 


Hooks that return a value 


If the hook returns a value, then it can either be run until the first hook that does something 
interesting, like so: 


AP_IMPLEMENT_HOOK_RUN_FIRST(int, do_something, (request_rec *r, int n), (r, n), 


E 一 一 一 





The first hook that does not return DpEcLINED stops the loop and its return value is returned 
from the hook caller. Note that pEcLiwED is the tradition Apache hook return meaning "| 
didn't do anything", but it can be whatever suits you. 


Alternatively, all hooks can be run until an error occurs. This boils down to permitting two 
return values, one of which means "| did something, and it was OK" and the other meaning 
"| did nothing". The first function that returns a value other than one of those two stops the 
loop, and its return is the return value. Declare these like so: 


AP IMPLEMENT HOOK RUN ALL(int, do something, (request rec *r, int n), (r, n), O 











Again, ok 和 DEcLINED are the traditional values. You can use what you want. 


Call the hook callers 
At appropriate moments in the code, call the hook caller, like so: 


int n, ret; 
request rec *r; 


ret-ap run do something(r, n); 


Hooking the hook 


A module that wants a hook to be called needs to do two things. 


Implement the hook function 
Include the appropriate header, and define a static function of the correct type: 


static int my something doer(request rec *r, int n) 


t 


return OK; 


} 


Add a hook registering function 


During initialisation, Apache will call each modules hook registering function, which is 
included in the module structure: 


static void my_register_hooks() 


t 


ap hook do something(my something doer, NULL, NULL, APR HOOK MIDDLE); 
} 


mode MODULE_VAR_EXPORT my_module = 


H 


my register hooks /* register hooks */ 


了 


Controlling hook calling order 


In the example above, we didn't use the three arguments in the hook registration function 
that control calling order. There are two mechanisms for doing this. The first, rather crude, 
method, allows us to specify roughly where the hook is run relative to other modules. The 
final argument control this. There are three possible values: APR HOOK FIRST , 

APR HOOK MIDDLE 和 APR HOOK LAST . 


All modules using any particular value may be run in any order relative to each other, but, of 
course, all modules using APR Hook rFrnsT will be run before APR_HOOK_MIDDLE which are 
before APR Hook LAsr . Modules that don't care when they are run should use 

APR HOOK MIDDLE . (/ spaced these out so people could do stuff like APR Hook FiRsT-2 to get 
in slightly earlier, but is this wise? - Ben) 


Note that there are two more values, APR HOOK REALLY. FIRST 和 APR HOOK REALLY. LAST . 
These should only be used by the hook exporter. 


The other method allows finer control. When a module knows that it must be run before (or 
after) some other modules, it can specify them by name. The second (third) argument is a 
NULL -terminated array of strings consisting of the names of modules that must be run 
before (after) the current module. For example, suppose we want "mod xyz.c" and 

"mod abc.c" to run before we do, then we'd hook as follows: 


static void register hooks() 
{ 
static const char * const aszPre[] = { "mod xyz.c", "mod abc.c", NULL }; 


ap hook do something(my something doer, aszPre, NULL, APR HOOK MIDDLE); 
} 


Note that the sort used to achieve this is stable, so ordering set by APR_HOOK_ORDER IS 
preserved, as far as is possible. 


<cite class="calibre27">Ben Laurie</cite>, 15th August 1999 


Converting Modules from Apache 1.3 to 
Apache 2.0 


This is a first attempt at writing the lessons | learned when trying to convert the 
mod mmap static module to Apache 2.0. It's by no means definitive and probably won't even 
be correct in some ways, but it's a start. 


The easier changes ... 


Cleanup Routines 


These now need to be of type apr status t and return a value of that type. Normally the 
return value will be APR success unless there is some need to signal an error in the cleanup. 
Be aware that even though you signal an error not all code yet checks and acts upon the 
error. 


Initialisation Routines 


These should now be renamed to better signify where they sit in the overall process. So the 
name gets a small change from mmap init tO mmap post config . The arguments passed 
have undergone a radical change and now look like 


e apr pool t *p 
e apr pool t *plog 
* apr pool t *ptemp 


* server rec *s 


Data Types 


A lot of the data types have been moved into the APR. This means that some have had a 
name change, such as the one shown above. The following is a brief list of some of the 
changes that you are likely to have to make. 


* pool becomes apr pool t 
e table becomes apr table t 


The messier changes... 


Register Hooks 


The new architecture uses a series of hooks to provide for calling your functions. These 
you'll need to add to your module by way of a new function, 

static void register hooks(void) . The function is really reasonably straightforward once 
you understand what needs to be done. Each function that needs calling at some stage in 
the processing of a request needs to be registered, handlers do not. There are a number of 
phases where functions can be added, and for each you can specify with a high degree of 
control the relative order that the function will be called in. 


This is the code that was added to mod mmap static : 


static void register hooks(void) 


t 

static const char * const aszPre[]-( "http core.c",NULL }; 

ap hook post config(mmap post config, NULL, NULL, HOOK MIDDLE); 

ap hook translate name(mmap static xlat,aszPre,NULL,HOOK LAST); 
HN 


This registers 2 functions that need to be called, one in the post config stage (virtually 
every module will need this one) and one for the translate name phase. note that while 
there are different function names the format of each is identical. So what is the format? 


ap hook «var class="calibre40">phase_name</var>(<var class="calibre40">function_n 
«var class="calibre40">predecessors</var>, «var class="calibre40">successors</var 


| _ # 





There are 3 hook positions defined... 


* HOOK FIRST 
* HOOK MIDDLE 


* HOOK LAST 


To define the position you use the position and then modify it with the predecessors and 
successors. Each of the modifiers can be a list of functions that should be called, either 
before the function is run (predecessors) or after the function has run (successors). 


In the mod mmap static case | didn't care about the post config stage, but the 
mmap static xlat must be called after the core module had done it's name translation, 
hence the use of the aszPre to define a modifier to the position uook Lasr . 


Module Definition 


There are now a lot fewer stages to worry about when creating your module definition. The 
old defintion looked like 


module MODULE VAR EXPORT «var class="calibre27">module_name</var>_module = 
{ 
STANDARD_MODULE_STUFF, 
/* initializer */ 
/* dir config creater */ 
/* dir merger --- default is to override */ 
/* server config */ 
/* merge server config */ 
/* command handlers */ 
/* handlers */ 
/* filename translation */ 
/* check_user_id */ 
/* check auth */ 
/* check access */ 
/* type_checker */ 
/* fixups */ 
/* logger */ 
/* header parser */ 
/* child_init */ 
/* child_exit */ 
/* post read-request */ 


HN 


The new structure is a great deal simpler... 


module MODULE VAR EXPORT «var class-'"calibre27"»module name«/var» module = 


t 
STANDARD20 MODULE STUFF, 


/* create per-directory config structures */ 
/* merge per-directory config structures */ 
/* create per-server config structures A 
/* merge per-server config structures H 
/* command handlers */ 

/* handlers */ 

/* register hooks */ 


nn 


Some of these read directly across, some don't. I'll try to summarise what should be done 
below. 


The stages that read directly across : 

/* dir config creater */ 

/* create per-directory config structures */ 
/* server config */ 

/* create per-server config structures */ 

/* dir merger */ 

/* merge per-directory config structures */ 
/* merge server config */ 

/* merge per-server config structures */ 

/* command table */ 


/* command apr table t */ 


/* handlers */ 


/* handlers */ 


The remainder of the old functions should be registered as hooks. There are the following 
hook stages defined so far... 


ap hook post config 


this is where the old init routines get registered 


ap hook http method 

retrieve the http method from a request. (legacy) 
ap hook open logs 

open any specified logs 
ap hook auth checker 

check if the resource requires authorization 


ap hook access checker 


check for module-specific restrictions 


ap hook check user id 





check the user-id and password 


ap hook default port 


retrieve the default port for the server 


ap hook pre connection 

do any setup required just before processing, but after accepting 
ap hook process connection 

run the correct protocol 

ap hook child init 

call as soon as the child is started 

ap hook create request 

2? 

ap hook fixups 

last chance to modify things before generating content 


ap hook handler 


generate the content 


ap hook header parser 


lets modules look at the headers, not used by most modules, because they use 
post read request for this 


ap hook insert filter 

to insert filters into the filter chain 
ap hook log transaction 

log information about the request 
ap hook optional fn retrieve 


retrieve any functions registered as optional 


ap hook post read request 





called after reading the request, before any other phase 


ap hook quick handler 


called before any request processing, used by cache modules. 


ap hook translate name 


translate the URI into a filename 


ap hook type checker 


determine and/or set the doc type 


Request Processing in Apache 2.0 


Warning 


Warning - this is a first (fast) draft that needs further revision! 


Several changes in Apache 2.0 affect the internal request processing mechanics. Module 
authors need to be aware of these changes so they may take advantage of the optimizations 
and security enhancements. 


The first major change is to the subrequest and redirect mechanisms. There were a number 

of different code paths in Apache 1.3 to attempt to optimize subrequest or redirect behavior. 

As patches were introduced to 2.0, these optimizations (and the server behavior) were 

quickly broken due to this duplication of code. All duplicate code has been folded back into 
ap process request internal() to prevent the code from falling out of sync again. 


This means that much of the existing code was 'unoptimized'. It is the Apache HTTP 
Project's first goal to create a robust and correct implementation of the HTTP server RFC. 
Additional goals include security, scalability and optimization. New methods were sought to 
optimize the server (beyond the performance of Apache 1.3) without introducing fragile or 
insecure code. 


The Request Processing Cycle 


All requests pass through «ap process request internal() in request.c , including 
subrequests and redirects. If a module doesn't pass generated requests through this code, 
the author is cautioned that the module may be broken by future changes to request 
processing. 


To streamline requests, the module author can take advantage of the hooks offered to drop 
out of the request cycle early, or to bypass core Apache hooks which are irrelevant (and 
costly in terms of CPU.) 


The Request Parsing Phase 


Unescapes the URL 


The request's parsed uri path is unescaped, once and only once, at the beginning of 
internal request processing. 


This step is bypassed if the proxyreq flag is set, or the parsed uri.path element is unset. 
The module has no further control of this one-time unescape operation, either failing to 
unescape or multiply unescaping the URL leads to security reprecussions. 


Strips Parent and This Elements from the URI 


All /../ 和 /./ elements are removed by ap getparents() . This helps to ensure the path 
is (nearly) absolute before the request processing continues. 


This step cannot be bypassed. 


Initial URI Location Walk 


Every request is subject to an ap 1ocation walk() call. This ensures that «Location» 
sections are consistently enforced for all requests. If the request is an internal redirect or a 
sub-request, it may borrow some or all of the processing from the previous or parent 
request's ap location walk, so this step is generally very efficient after processing the main 
request. 


translate name 


Modules can determine the file name, or alter the given URI in this step. For example, 

mod vhost alias Will translate the URI's path into the configured virtual host, mod alias will 
translate the path to an alias path, and if the request falls back on the core, the 

DocumentRoot is prepended to the request resource. 


If all modules pecLıne this phase, an error 500 is returned to the browser, and a "couldn't 
translate name" error is logged automatically. 


Hook: map to storage 


After the file or correct URI was determined, the appropriate per-dir configurations are 
merged together. For example, mod proxy compares and merges the appropriate «Proxy» 
sections. If the URI is nothing more than a local (non-proxy) rRAcE request, the core 
handles the request and returns pone . If no module answers this hook with ok 或 DONE , 
the core will run the request filename against the «pirectory» 和 <Files> sections. If the 
request 'filename' isn't an absolute, legal filename, a note is set for later termination. 


URI Location Walk 


Every request is hardened by a second ap location walk() call. This reassures that a 
translated request is still subjected to the configured «Location» sections. The request 
again borrows some or all of the processing from its previous 1ocation walk above, so this 
step is almost always very efficient unless the translated URI mapped to a substantially 
different path or Virtual Host. 


Hook: header parser 


The main request then parses the client's headers. This prepares the remaining request 
processing steps to better serve the client's request. 


The Security Phase 


Needs Documentation. Code is: 


switch (ap satisfies(r)) ( 
case SATISFY ALL: 
case SATISFY NOSPEC: 
if ((access status = ap run access checker(r)) != 0) { 
return decl die(access status, "check access", r); 





} 
if (ap_some_auth_required(r)) { 
if (((access_status = ap_run_check_user_id(r)) != 0) 
|| !ap_auth_type(r)) { 
return decl_die(access_status, ap_auth_type(r) 
? "check user. No user file?" 
"perform authentication. AuthType not set!", 
r); 
} 
if (((access status = ap run auth checker(r)) !- 0) 
|| !ap_auth_type(r)) { 
return decl_die(access_status, ap_auth_type(r) 
? "check access. No groups file?" 
"perform authentication. AuthType not set!", 
r); 
} 
} 
break; 


case SATISFY_ANY: 
if (((access status = ap run access checker(r)) != 0)) { 
if (!ap some auth required(r)) { 
return decl die(access status, "check access", r); 





} 
if (((access_status = ap_run_check_user_id(r)) != 0) 
|| !ap auth type(r)) { 
return decl die(access status, ap auth type(r) 
? "check user. No user file?" 
"perform authentication. AuthType not set!", 
r); 
} 
if (((access status = ap run auth checker(r)) != 0) 
|| !ap auth type(r)) { 
return decl die(access status, ap auth type(r) 
? "check access. No groups file?" 
"perform authentication. AuthType not set!", 
r); 
} 
} 
break; 


The Preparation Phase 


Hook: type_checker 


The modules have an opportunity to test the URI or filename against the target resource, 
and set mime information for the request. Both mod mime 和 mod mime magic use this phase 
to compare the file name or contents against the administrator's configuration and set the 
content type, language, character set and request handler. Some modules may set up their 
filters or other request handling parameters at this time. 


If all modules DECcLINE this phase, an error 500 is returned to the browser, and a "couldn't 
find types" error is logged automatically. 


Hook: fixups 


Many modules are 'trounced' by some phase above. The fixups phase is used by modules to 
'reassert' their ownership or force the request's fields to their appropriate values. It isn't 
always the cleanest mechanism, but occasionally it's the only option. 


The Handler Phase 


This phase is not part of the processing in ap process request internal() . Many modules 
prepare one or more subrequests prior to creating any content at all. After the core, or a 
module calls ap process request internal() itthen calls ap invoke handler() to generate 
the request. 


Hook: insert filter 


Modules that transform the content in some way can insert their values and override existing 
filters, such that if the user configured a more advanced filter out-of-order, then the module 
can move its order as need be. There is no result code, so actions in this hook better be 
trusted to always succeed. 


Hook: handler 


The module finally has a chance to serve the request in its handler hook. Note that not every 
prepared request is sent to the handler hook. Many modules, such as mod autoindex , Will 
create subrequests for a given URI, and then never serve the subrequest, but simply lists it 
for the user. Remember not to put required teardown from the hooks above into this module, 
but register pool cleanups against the request pool to free resources as required. 


How filters work in Apache 2.0 


Warning 


This is a cut 'n paste job from an email («022501c1c529$f63a9550$7f00000a(9KOJ») and 
only reformatted for better readability. It's not up to date but may be a good start for further 
research. 


Filter Types 


There are three basic filter types (each of these is actually broken down into two categories, 
but that comes later). 


CONNECTION 


Filters of this type are valid for the lifetime of this connection. ( AP FTYPE CONNECTION , 


AP FTYPE NETWORK ) 


PROTOCOL 


Filters of this type are valid for the lifetime of this request from the point of view of the client, 
this means that the request is valid from the time that the request is sent until the time that 


the response is received. ( AP FTYPE PROTOCOL , AP FTYPE TRANSCODE ) 


RESOURCE 


Filters of this type are valid for the time that this content is used to satisfy a request. For 
simple requests, this is identical to PRorocoL , but internal redirects and sub-requests can 
change the content without ending the request. ( AP FTYPE RESOURCE , AP FTYPE CONTENT SET ) 


It is important to make the distinction between a protocol and a resource filter. A resource 
filter is tied to a specific resource, it may also be tied to header information, but the main 
binding is to a resource. If you are writing a filter and you want to know if it is resource or 
protocol, the correct question to ask is: "Can this filter be removed if the request is redirected 
to a different resource?" If the answer is yes, then it is a resource filter. If it is no, then it is 
most likely a protocol or connection filter. | won't go into connection filters, because they 
seem to be well understood. With this definition, a few examples might help: 


Byterange 


We have coded it to be inserted for all requests, and it is removed if not used. Because this 
filter is active at the beginning of all requests, it can not be removed if it is redirected, so this 
is a protocol filter. 


http header 


This filter actually writes the headers to the network. This is obviously a required filter 
(except in the asis case which is special and will be dealt with below) and so it is a protocol 
filter. 


Deflate 


The administrator configures this filter based on which file has been requested. If we do an 
internal redirect from an autoindex page to an index.html page, the deflate filter may be 
added or removed based on config, so this is a resource filter. 


The further breakdown of each category into two more filter types is strictly for ordering. We 
could remove it, and only allow for one filter type, but the order would tend to be wrong, and 
we would need to hack things to make it work. Currently, the Resource filters only have one 
filter type, but that should change. 


How are filters inserted? 


This is actually rather simple in theory, but the code is complex. First of all, it is important 
that everybody realize that there are three filter lists for each request, but they are all 
concatenated together. So, the first list is r-&gt;output filters , then 

r-&gt;proto_output_filters , and finally r-&gt;connection-&gt;output_filters . These 
correspond to the RESOURCE , PROTOCOL , and connection filters respectively. The problem 
previously, was that we used a singly linked list to create the filter stack, and we started from 
the "correct" location. This means that if | had a Resource filter on the stack, and | added a 

CONNECTION filter, the connection filter would be ignored. This should make sense, because 
we would insert the connection filter at the top of the c-&gt;output filters list, but the end 
Of r-&gt;output filters pointed to the filter that used to be at the front of 

c-&gt;output filters . This is obviously wrong. The new insertion code uses a doubly 
linked list. This has the advantage that we never lose a filter that has been inserted. 
Unfortunately, it comes with a separate set of headaches. 


The problem is that we have two different cases were we use subrequests. The first is to 
insert more data into a response. The second is to replace the existing response with an 
internal redirect. These are two different cases and need to be treated as such. 


In the first case, we are creating the subrequest from within a handler or filter. This means 
that the next filter should be passed to make sub request function, and the last resource 
filter in the sub-request will point to the next filter in the main request. This makes sense, 
because the sub-request's data needs to flow through the same set of filters as the main 
request. A graphical representation might help: 


Default handler --» includes filter --» byterange --» ... 


If the includes filter creates a sub request, then we don't want the data from that sub-request 
to go through the includes filter, because it might not be SSI data. So, the subrequest adds 
the following: 


Default handler --» includes filter -/-> byterange --» ... 
/ 
Default handler --» sub request core 


What happens if the subrequest is SSI data? Well, that's easy, the includes filter isa 
resource filter, so it will be added to the sub request in between the Default handler and 
the sub request core filter. 


The second case for sub-requests is when one sub-request is going to become the real 
request. This happens whenever a sub-request is created outside of a handler or filter, and 
NULL is passed as the next filter to the make sub request function. 


In this case, the resource filters no longer make sense for the new request, because the 
resource has changed. So, instead of starting from scratch, we simply point the front of the 
resource filters for the sub-request to the front of the protocol filters for the old request. This 
means that we won't lose any of the protocol filters, neither will we try to send this data 
through a filter that shouldn't see it. 


The problem is that we are using a doubly-linked list for our filter stacks now. But, you should 
notice that it is possible for two lists to intersect in this model. So, you do you handle the 
previous pointer? This is a very difficult question to answer, because there is no "right" 
answer, either method is equally valid. | looked at why we use the previous pointer. The only 
reason for it is to allow for easier addition of new servers. With that being said, the solution | 
chose was to make the previous pointer always stay on the original request. 


This causes some more complex logic, but it works for all cases. My concern in having it 
move to the sub-request, is that for the more common case (where a sub-request is used to 
add data to a response), the main filter chain would be wrong. That didn't seem like a good 
idea to me. 


Asis 


The final topic. :-) Mod Asis is a bit of a hack, but the handler needs to remove all filters 
except for connection filters, and send the data. If you are using mod asis , all other bets are 
off. 


Explanations 


The absolutely last point is that the reason this code was so hard to get right, was because 
we had hacked so much to force it to work. | wrote most of the hacks originally, so | am very 
much to blame. However, now that the code is right, | have started to remove some hacks. 
Most people should have seen that the reset filters 和 add required filters functions 
are gone. Those inserted protocol level filters for error conditions, in fact, both functions did 
the same thing, one after the other, it was really strange. Because we don't lose protocol 
filters for error cases any more, those hacks went away. The urTP HEADER , Content-length , 
and Byterange filters are all added in the insert filters phase, because if they were 
added earlier, we had some interesting interactions. Now, those could all be moved to be 
inserted with the HTTP_IN , CORE , and cone riw filters. That would make the code easier to 


follow. 


Apache 2.0 Thread Safety Issues 


When using any of the threaded mpms in Apache 2.0 it is important that every function 
called from Apache be thread safe. When linking in 3rd party extensions it can be difficult to 
determine whether the resulting server will be thread safe. Casual testing generally won't tell 
you this either as thread safety problems can lead to subtle race conditons that may only 
show up in certain conditions under heavy load. 


Global and static variables 


When writing your module or when trying to determine if a module or 3rd party library is 
thread safe there are some common things to keep in mind. 


First, you need to recognize that in a threaded model each individual thread has its own 
program counter, stack and registers. Local variables live on the stack, so those are fine. 
You need to watch out for any static or global variables. This doesn't mean that you are 
absolutely not allowed to use static or global variables. There are times when you actually 
want something to affect all threads, but generally you need to avoid using them if you want 
your code to be thread safe. 


In the case where you have a global variable that needs to be global and accessed by all 
threads, be very careful when you update it. If, for example, it is an incrementing counter, 
you need to atomically increment it to avoid race conditions with other threads. You do this 
using a mutex (mutual exclusion). Lock the mutex, read the current value, increment it and 
write it back and then unlock the mutex. Any other thread that wants to modify the value has 
to first check the mutex and block until it is cleared. 


If you are using APR, have a look atthe apr atomic * functions and the 
apr thread mutex * functions. 





errno 


This is a common global variable that holds the error number of the last error that occurred. 
If one thread calls a low-level function that sets errno and then another thread checks it, we 
are bleeding error numbers from one thread into another. To solve this, make sure your 
module or library defines  REENTRANT or is compiled with -p REENTRANT . This will make 
errno a per-thread variable and should hopefully be transparent to the code. It does this by 
doing something like this: 


#define errno (*(. errno location())) 


which means that accessing errno will call _ errno 1ocation() which is provided by the libc. 
Setting _REENTRANT also forces redefinition of some other functions to their * r equivalents 
and sometimes changes the common getc / putc macros into safer function calls. Check 
your libc documentation for specifics. Instead of, or in addition to _REENTRANT the symbols 


that may affect this are  PosIX C SOURCE , | THREAD SAFE ,  SVID SOURCE , ANd  BSD SOURCE. 


Common standard troublesome functions 


Not only do things have to be thread safe, but they also have to be reentrant. strtok() is 
an obvious one. You call it the first time with your delimiter which it then remembers and on 
each subsequent call it returns the next token. Obviously if multiple threads are calling it you 
will have a problem. Most systems have a reentrant version of of the function called 

strtok r() where you pass in an extra argument which contains an allocated char * 
which the function will use instead of its own static storage for maintaining the tokenizing 
state. If you are using APR you can use apr strtok() . 


crypt() is another function that tends to not be reentrant, so if you run across calls to that 
function in a library, watch out. On some systems it is reentrant though, so it is not always a 
problem. If your system has crypt r() chances are you should be using that, or if possible 
simply avoid the whole mess by using md5 instead. 


Common 3rd Party Libraries 


The following is a list of common libraries that are used by 3rd party Apache modules. You 
can check to see if your module is using a potentially unsafe library by using tools such as 
1dd(1) 和 nm(1) . For PHP, for example, try this: 


96 ldd libphp4.so 

libsablot.so.0 -» /usr/local/lib/libsablot.so.0 (0x401f6000) 
libexpat.so.0 -» /usr/lib/libexpat.so.0 (0x402da000) 
libsnmp.so.0 => /usr/lib/libsnmp.so.0 (0x402f9000) 
libpdf.so.1 => /usr/local/lib/libpdf.so.1 (0x40353000) 
libz.so.1 => /usr/lib/libz.so.1 (0x403e2000) 

libpng.so.2 -» /usr/lib/libpng.so.2 (0x403f0000) 
libmysqlclient.so.11 => /usr/lib/libmysqlclient.so.11 (0x40411000) 
libming.so -» /usr/lib/libming.so (0x40449000) 

libm.so.6 -» /lib/libm.so.6 (0x40487000) 

libfreetype.so.6 => /usr/lib/libfreetype.so.6 (0x404a8000) 
libjpeg.so.62 -» /usr/lib/libjpeg.so.62 (0x404e7000) 
libcrypt.so.1 => /lib/libcrypt.so.1 (0x40505000) 

libssl.so.2 => /lib/libssl.so.2 (0x40532000) 

libcrypto.so.2 => /lib/libcrypto.so.2 (0x40560000) 
libresolv.so.2 => /lib/libresolv.so.2 (0x40624000) 
libdl.so.2 => /lib/libdl.so.2 (0x40634000) 

libnsl.so.1 => /lib/libnsl.so.1 (0x40637000) 

libc.so.6 => /lib/libc.so.6 (0x4064b000) 


/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x80000000) 


In addition to these libraries you will need to have a look at any libraries linked statically into 


the module. You can use nm(1) to look for individual symbols in the module. 


Library List 


Please drop a note to dev@hittpd.apache.org if you have additions or corrections to this list. 


Library Version Thread Safe? 
ASpell/PSpell ? 


Berkeley DB 3.x, 4.x Yes 


bzip2 


cdb 


Bec 
thre 


Both low-level and high-level APIs are thread-safe. 
Yes However, high-level API requires thread-safe access 
to errno. 


c-client uses strtok() 和 gethostbyname() which 
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are not thread-safe on most C library 
C-Client Perhaps implementations. c-client's static data is meant to be 
shared across threads. If 
strtok() 和 gethostbyname() are thread-safe on 
your OS, c-client may be thread-safe. 


cpdflib P 

libcrypt ? 

Expat Yes Need a separate parser instance per thread 

FreeTDS ? 

FreeType g 

GD 1.8.x ? 

GD 2-0:x 名 

gdbm No Errors returned via a static gdbm_error variable 

ImageMagick 527 Yes ns 

Imlib2 ? 

libjpeg v6b p 

Use mysalclient_r library variant to ensure thread- 
libmysqlclient | Yes safety. For more information, please read 
http://www.mysql.com/doc/en/Threaded_clients.html. 

Ming 0.2a 名 

Net-SNMP 5.0.X ? 

OpenLDAP 2.1.x Yes = 
Req 

OpenSSL 0.9.6g Yes CRY 

CRY 

~ 
PDF 

pdflib 5.0.x Yes ae 
http: 

libpng 1.0.x 2 

libpng 1.2.x ? 

coe dos pes ned 

Sablotron 0.95 ? 
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zlib 1.1.4 Yes func 
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词汇 和 索引 


词汇 表 


此 词汇 表 包 含 了 与 Apache 相 关 的 一 些 常 用 术语 的 详细 定义 ， 以 及 对 网 络 服务 的 一 般 说 明 ， 并 
提供 了 相关 的 更 详细 资料 的 连接 。 


I We 
AE SL 
访问 控制 (Access Control) 


对 网 络 领域 访问 的 限制 。 对 Apache 来 说 ， 通 常 是 指 对 某 些 URL 访 问 的 限制 。 参 见 : 认证 、 授 
权 、 访 问 控制 


算法 (Algorithm) 


通过 有 限 步骤 解决 问题 的 一 个 明确 的 公式 或 者 一 套 规 则 。 用 于 加 密 的 算法 通常 称 为 <dfn 
class="calibre27"> 加 密 算法 (Cipher)</dfn>。 


Apache 扩 展 工 具 (APache eXtension Tool) (apxs) 


一 个 perl 脚 本 ， 用 于 编译 模块 (module) 源 代码 为 动态 共享 对 象 (DSO)， 并 帮助 安装 到 Apache 
Web 服 务 器 中 。 参见 : apxs 


Apache 可 移植 运行 时 (Apache Portable Runtime) (APR) 


一 组 在 操作 系统 和 服务 器 之 间 提 供 许多 基本 接口 的 库 。APR 是 一 个 与 Apache HTTP Server 平 
行 的 独立 项 目 。 参见 : Apache Portable Runtime Project 


认证 (Authentication) 
对 诸如 服务 器 、 客 户 端 或 用 户 等 网 络 实体 的 真实 性 鉴定 。 SM: 认证 、 授 权 、 访 问 控制 
证 书 (Certificate) 


用 于 鉴别 诸如 服务 器 或 客户 端的 网 络 实体 的 一 个 数据 记录 。 一 个 证 书包 含有 : 若干 其 所 有 者 
的 X.509 信 息 片 段 ( 称 为 主题 [subject])， 其 签发 的 证 书 机 构 (Certification Authority)( 称 为 发 行者 
[lissuer])， 还 有 其 所 有 者 的 公 钥 (public key) 和 由 证 书 机 构 (CA) 制 作 的 签名 。 网 络 实体 将 用 CA 
证 书 校 验 这 些 签名 。 参见 : SSL/TLS 加 密 


证 书签 发 请 求 (Certificate Signing Request) (CSR) 


一 个 提交 给 证 书 机 构 (Certification Authority) 的 用 其 CA 证 书 的 私 钥 (Private Key) 签 名 的 未 经 签 
发 的 证 书 (certificate)。 一 旦 这 个 CSR 被 签发 ， 则 成 为 一 个 真正 的 证 书 。 参见 : SSL/TLS MB 


证 书 机 构 (Certification Authority) (CA) 


一 个 则 在 对 已 经 通过 保密 方法 得 到 鉴定 的 网 络 实体 签发 证 书 的 可 信 的 第 三 方 团 体 。 其 他 网 络 
实体 可 以 通过 验证 签名 来 确定 一 个 证 书 的 持 有 人 是 否 通 过 了 CA 的 鉴定 。 参见 : SSL/TLS 加 
um 


加 密 算法 (Cipher) 

一 种 用 于 数据 加 密 的 算法 或 系统 。 如 : DES、IDEA、RC4 等 等 。 参见 : SSL/TLS MB 
密 文 (Ciphertext) 

明文 (Plaintext) 通 过 加 密 算法 (Cipher) 处 理 后 的 结果 。 参见 : SSL/TLS MB 

公共 网 关 接口 (Common Gateway Interface) (CGI) 


一 种 允许 在 web 服 务 器 和 外 部 程序 之 间 使 用 外 部 程序 响应 请 求 的 接口 的 标准 定义 。 此 接口 最 早 
由 (美国 ) 国 家 计算 机 安全 协会 (NCSA) 制 定 ， 另 外 还 有 一 个 RFC 项 目 。 参见 : CGI 动态 页 面 


配置 指令 (Configuration Directive) 

参见 : 184 (Directive) 

配置 文件 (Configuration File) 

一 个 控制 Apache 配 置 的 含有 若干 指 邻 (Directives) 的 文本 文件 。 BR: 配置 文件 

连接 (CONNECT) 

一 种 通过 HTTP 通 道 代理 原始 数据 的 HTTP 方 法 (method)。 可 以 用 于 封装 其 他 协议 ， 如 SSL 协 
io 

VE A (Context) 

旨 令 (Directives) 在 配置 文件 中 的 许可 区 域 。 参见 : 描述 指令 的 术语 

数字 签名 (Digital Signature) 


验证 证 书 或 其 他 文件 的 一 个 经 过 加 密 的 文本 块 。 证 书 机 构 (Certification Authority) 对 公 铀 
(Public Key) 生 成 一 个 散 列 并 嵌入 证 书 (Certificate)， 以 建立 签名 ， 然 后 用 其 自身 的 私 角 
(Private Key) 加 密 这 个 散 列 。 只 有 证 书 机 构 (CA) 的 公 钥 村 能 解密 此 签名 ， 以 证 实 持 有 此 证 书 的 
网 络 实体 已 经 通过 了 CA 的 鉴定 。 参见 : SSL/TLS Jg 


E^ (Directive) 


cu 


BA 
BT 


位 于 配置 文件 (Configuration File) 中 的 控制 一 个 或 多 个 Apache 行 为 的 配置 命令。 参见 : 
索引 


动态 共享 对 象 (Dynamic Shared Object) (DSO) 


与 Apache httpd 二 进 制 映 象 分 开 编译 的 可 以 在 被 调用 时 加 载 的 模块 (Modules)。 BM: 动 
共享 对 象 支持 


er 


341% 3 Æ (Environment Variable) (env-variable) 


由 操作 系统 shell 管 理 的 用 于 存储 信息 和 程序 之 间 通 讯 的 已 命名 的 变量 。Apache 存 储 的 内 部 变 
量 有 时 也 称 作 环 境 变量 ， 但 它们 是 被 存储 在 Apache 内 部 结构 中 的 ， 而 不 是 存储 在 shell 环 境 中 
的 。 参见 : Apache 的 环境 变量 


出 口 限制 (Export-Crippled) 


降低 加 密 强度 (和 安全 度 ) 以 符合 美国 出 口 监管 条 例 (EAR) 的 规定 。 出 口 限 制 加 密 的 软件 被 限制 
只 能 使 用 密 钥 长 度 较 短 的 密 钥 ， 从 而 使 密 文 可 以 被 暴力 破解 。 参见 : SSL/TLS 加 密 


过 滤器 (Filter) 


服务 器 用 来 接收 和 发 送 数据 的 过 程 。 输 入 过 滤器 义理 客户 端 发 送 到 服务 器 的 数据 ， 而 输出 过 
比如 ， INcLupESs 输出 过 滤器 处 理 服 务 器 端 包含 (Server 
Side Includes) 文 档 。 参见 : 过 滤器 


全 称 域 名 (Fully-Qualified Domain-Name) (FQDN) 


网 络 实体 的 唯一 的 名 称 ， 由 主机 名 和 域名 组 成 ， 并 能 够 被 解析 为 一 个 IP 地 址 。 上 比如 ， ww 是 
一 ?| 主机 名 ， example.com 是 一 个 域名 ， 那么 www.example.com 就 是 一 个 全 称 域名 。 


x% 38 25 (Handler) 


处 理 器 是 一 个 文件 被 调用 时 ，Apache 所 执行 操作 的 内 部 表现 。 一 般 来 说 ， 文 件 都 有 基于 其 文 
件 类 型 的 隐 含 处 理 器 。 通 常 ， 文 件 都 只 是 被 服务 器 作 简单 的 提交 ， 只 有 某 些 文件 类 型 被 特殊 
地 "义理 "。 比 如 : cgi-script 人 处理 器 使 文件 作为 CGI 脚 本 被 处 理 。 参见 : Apache 人 处 理 器 的 使 
用 


散 列 / 哈 希 (Hash) 


一 个 从 变 长 字符 串 生 成 定 辩 字 符 串 的 单 向 算法 。 不 同 的 输入 字符 串 一 般 会 产生 不 同 的 输出 散 
All 4& (BUR TF hashER 2X), 


+ (Header) 


在 实际 内 容 之 前 发 送 的 HTTP 请 求 和 响应 的 一 部 分 ， 其 中 包含 描述 内 容 的 元 信息 (meta- 
information)。 


.htaccess 


网 站 目录 树 结 构 中 的 一 个 配置 文件 (configuration file)， 使 配置 指令 (Directive) 作 用 于 其 所 在 目 
录 及 其 所 有 子 目 录 。 此 文件 可 以 包含 几乎 所 有 类 型 的 指令 ， 而 并 不 仅仅 是 其 文件 名 所 暗示 的 
访问 控制 指令 。 参见 : 配置 文件 


httpd.conf 


ApacheB = Re iE x fF (configuration file), SA3 A {A /usr/local/apache2/conf/httpd.conf , {8 
可 以 通过 运行 时 或 编译 时 的 配置 改变 。 参见 : 配置 文件 


超 文 本 传输 协议 (HyperText Transfer Protocol) (HTTP) 


在 WWW 上 使 用 的 标准 传输 协议 。Apache 实 现 了 此 协议 的 1.1 版 本 ， 即 在 RFC 2616 中 定义 的 
HTTP/1.1 。 


HTTPS 


安全 (Secure) 超 文本 传输 协议 ， 在 WWW 上 使 用 的 标准 加 密 通讯 机 制 。 实 质 上 ， 它 是 SSL 基 础 
上 的 HTTP。 参见 : SSL/TLS 加 密 


方法 (Method) 


对 于 HTTP， 是 由 客户 端 在 请 求 行 中 指定 的 对 一 个 资源 执行 的 操作 。HTTP 中 的 方法 有 诸 
如 GET, post, Pur 等 等 。 


消息 摘要 (Message Digest) 


消息 的 一 个 散 列 值 ， 可 以 用 于 校 验 消息 内 容 是 否 在 传输 过 程 中 有 所 改变 。 参见 : SSL/TLS 加 


M 
MIME X Æ! (MIME-type) 


描述 被 传输 文档 的 类 型 的 一 种 方法 。 因 其 格式 借用 了 多 用 途 网 际 邮件 扩展 (MIME) 而 得 名 。 由 
以 斜 杠 分 隔 的 一 个 主 类 型 和 一 个 副 类 型 组 成 。 例 如 : text/html , image/gif , 
application/octet-stream 。 在 HTTP 中 ，MIME 类 型 包含 在 content-Type 头 (header) 中 被 传 
输 。 参见 : mod mime 


模块 (Module) 


程序 的 一 个 独立 的 部 分 。Apache 中 的 多 数 功能 都 包含 在 模块 中 以 供 取舍 。 被 编译 进入 Apache 
httpd 二 进 制 映 象 的 模块 称 为 <dfn class="calibre27"> 静 态 模块 (static module)</dfn>， 而 单 
独 存储 的 可 以 有 选择 地 在 运行 时 被 加 载 的 模块 称 为 <dfn class="calibre27"> 动 态 模块 (dynamic 
module)</dfn> 或 DSO。 上 默认 被 包含 的 模块 称 为 <dfn class="calibre27"> 基 本 模块 (base 
module)</dfn>。 很 多 Apache 可 以 使 用 的 模块 都 不 是 作为 Apache HTTP 服 务 器 tar 包 (tarball) 的 
一 部 分 发 行 的 ， 这 些 模块 被 称 为 <dfn class="calibre27"> 第 三 方 模块 (third-party module) 
</dfn>。 参见 : 模块 索引 


模块 幻 数 (Module Magic Number) (MMN) 


模块 幻 数 是 Apache 源 代码 中 定义 的 与 模块 二 进 制 映 象 兼容 性 相关 的 常量 。 当 Apache 内 部 结 

构 、 画 数 调用 和 API 的 重要 部 分 发 生 改 变 ， 再 也 不 能 保证 此 二 进 制 映 象 的 兼容 性 的 时 候 ， 这 个 
值 会 被 改变 。 一 旦 MMN 被 改变 ， 所 有 的 第 三 方 模块 必须 至 少 被 重新 编译 ， 有 时 候 其 至 要 修改 
源 代码 才能 在 Apache 的 新 版 本 中 运行 。 


OpenSSL 
开源 的 SSL/TLS 工 具 包 参见 : http://www.openssl.org/ 
通行 码 (Pass Phrase) 


保护 私 钥 文件 的 一 个 词 或 短语 ， 以 避免 被 未 授权 用 户 加 密 。 通 常 ， 它 只 是 密码 算法 (Ciphen) 中 
保密 的 用 于 加 密 / 解 密 的 密 钥 。 参见 : SSL/TLS Jn 


明文 (Plaintext) 
未 加 密 的 文本 。 


私 钥 (Private Key) 


公 钥 加 窗 系 统 中 保密 的 密 钥 ， 用 于 对 到 来 的 消息 解密 和 对 外 出 的 消息 签名 。 参见 : SSL/TLS 
加 密 
代理 (Proxy) 


处 于 客户 端 和 原始 服务 器 (origjn server) 之 间 的 中 间 服 务 器 。 它 接收 来 自 客户 端的 请 求 ， 传 输 
到 原始 服务 器 ， 并 把 原始 服务 器 的 响应 返回 给 客户 端 。 如 果 几 个 客户 端 请 求 的 内 容 相 同 ， 代 
理 可 以 从 其 缓存 中 取出 此 内 容 ， 而 不 必 每 次 都 从 原始 服务 器 读 取 ， 从 而 缩短 了 响应 时 间 。 参 
见 : mod proxy 


公 钥 (Public Key) 


公 钥 加 密 系 统 中 对 公众 公开 的 密 钥 ， 用 于 加 密 送 往 其 持 有 者 的 消息 和 解密 由 其 持 有 者 制作 的 
签名 。 参见 : SSL/TLS ms 


公 钥 加 密 系 统 (Public Key Cryptography) 


对 使 用 一 个 加 密 密 钥 和 一 个 解密 密 钥 的 不 对 称 加 密 系 统 的 研究 和 应 用 。 相 应 的 一 对 这 样 的 密 
钥 组 成 了 密 钥 对 。 也 称 为 " 非 对 称 加 密 系统 "(Asymmetric Cryptography) 参见 : SSL/TLS 加 窗 


正则 表达 式 (Regular Expression) (Regex) 


一 种 对 模式 的 文字 表述 ， 比 如，" 所 有 以 字母 A 开头 的 单词 "，" 每 个 10 位 的 电话 号 码 " 还 可 以 
是 "每 个 包含 两 个 逗号 ， 而 且 没 有 大 写字 母 Q 的 句子 "。 正 则 表达 式 在 Apache 中 非常 有 用 ， 可 以 
非常 灵活 地 对 一 组 文件 或 资源 应 用 某 种 属性 ， 例 如 ， 任 何 "images" 目 录 下 的 .gif 和 .jpg 文件 可 
以 表述 为 ”/images/.*(jpglgif)$ "。Apache 使 用 的 是 由 PCRE 库 提供 的 Perl 兼 容 的 正则 表达 
式 。 

反 向 代理 (Reverse Proxy) 


一 个 在 客户 端 看 来 是 原始 服务 器 (origin server) 的 代理 (proxy) 服 务 器 。 出 于 安全 考虑 或 为 了 实 
现 均 衡 负 载 ， 借 此 对 客户 端 隐藏 原始 服务 器 。 


安全 套 接 字 层 (Secure Sockets Layer) (SSL) 


由 Netscape 公 司 建 立 的 ， 在 TCP/IP 网 络 中 实现 常规 通讯 认证 和 加 密 的 协议 。 它 被 广泛 地 用 于 
HTTPS ， 即 SSL 基 础 上 的 超 文本 传输 协议 。 参见 : SSL/TLS 加 窗 


Hk 4-28 0m GL & (Server Side Includes) (SSI) 
FEHTMLSCHE ERA BIS BA — HRA. 参见 : 服务 器 端 包含 简介 
会 话 (Session) 

一 般 是 指 一 个 通讯 的 上 下 文 信息 。 

SSLeay 

由 Eric A. Young 开 发 的 最 初 的 SSL/TLS 的 实现 库 

对 称 密码 系统 (Symmetric Cryptography) 

使 用 单个 密 钥 执行 加 密 和 解密 操作 的 密码 算法 研究 和 应 用 。 参见 : SSL/TLS 加 密 
Tar 包 (Tarball) 

用 tar 工具 收集 的 文件 包 。Apache 发 行 版 是 存储 在 用 tar 或 pkzip 压 缩 的 文件 中 的 。 
传输 层 安全 (Transport Layer Security) (TLS) 


Internet 工 程 任务 组 (IETF) 建 立 的 SSL 的 后 续 协议 ， 在 TCP/IP 网 络 中 实现 常规 通讯 认证 和 加 
密 。TLS 的 版 本 1 和 SSL 的 版 本 3 基本 一 致 。 参见 : SSL/TLS 加 窗 


统一 资源 定位 器 (Uniform Resource Locator) (URL) 


tlh 它 是 正式 名 称 为 统一 资源 标识 符 (Uniform Resource Identifier) 
的 非 正式 称呼 。URL 通 常 由 一 个 类 型 ， 比 如 http 或 https ， 一 个 主机 名 和 一 个 路 径 组 成 。 


指向 本 页 页 面 面 的 URL 是 http://httpd.apache.org/docs/2.2/glossary.html 
统一 资源 标识 符 (Uniform Resource Identifier) (URI) 


一 个 抽象 或 者 物理 资源 的 简洁 字符 串 。 由 RFC 2396 正 式 定 义 。 互 联网 上 使 用 的 URI 通 
as 


虚拟 主机 (Virtual Hosting) 


使 用 单个 Apache 实 例 提 供 多 个 网 站 。 基 于 /P 的 虚拟 主机 (IP virtual hosting) 基 于 IP 区 分 各 网 
站 ， 而 基于 名 称 的 虚拟 主机 (name-based virtual hosting) 按 主机 名 区 分 ， 从 而 在 同一 个 IP 地 址 
上 宿主 多 个 网 站 。 参见 : Apache 虚 拟 主机 文档 


X.509 


由 国际 电信 联盟 (ITU) 推 荐 的 用 于 SSL/TLS 认 证 的 一 种 认证 证 书 类 型 。 参见 : SSL/TLS MB 


Apache 2.2 中 文官 方 文 档 


指令 索引 


这 里 列 示 了 Apache 标 准 发 行 版 中 的 所 有 指令 。 指 邻 的 描述 采用 统一 的 格式 ， 其 中 用 到 的 缩 略 
语 在 指令 术语 字典 有 详细 说 明 。 


指令 速 查 以 概要 形式 提供 了 每 个 指 邻 的 细节 。 


e AcceptFilter 

e AcceptMutex 

e AcceptPathlnfo 

e AccessFileName 

e Action 

e AddAlt 

e AddAltByEncoding 

e AddAltByType 

e AddCharset 

e AddDefaultCharset 

e AddDescription 

e AddEncoding 

e AddHandler 

e Addlcon 

e AddlconByEncoding 
e AddlconByType 

e AddinputFilter 

e AddLanguage 

e AddModulelnfo 

e AddOutputFilter 

e AddOutputFilterByType 
e AddType 

e Alias 

e AliasMatch 

e Allow 

e AllowCONNECT 

e AllowEncodedSlashes 
e AllowOverride 

e Anonymous 

e Anonymous LogEmail 
e Anonymous MustGiveEmail 
e Anonymous NoUserlD 
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e Anonymous VerifyEmail 

e AuthBasicAuthoritative 

e AuthBasicProvider 

e AuthDBDUserPWQuery 

e AuthDBDUserRealmQuery 
e AuthDBMGroupFile 

e AuthDBMType 

e AuthDBMUserFile 

e AuthDefaultAuthoritative 

e AuthDigestAlgorithm 

e AuthDigestDomain 

e AuthDigestNcCheck 

e AuthDigestNonceFormat 

e AuthDigestNonceLifetime 

e AuthDigestProvider 

e AuthDigestQop 

e AuthDigestShmemSize 

e AuthGroupFile 

e AuthLDAPBindDN 

e AuthLDAPBindPassword 

e AuthLDAPCharsetConfig 

e AuthLDAPCompareDNOnServer 
e AuthLDAPDereferenceAliases 
e AuthL DAPGroupAttribute 

e AuthLDAPGroupAttributelsDN 
e AuthLDAPRemoteUserlsDN 
e AuthLDAPUrl 

e AuthName 

e <AuthnProviderAlias> 

e AuthType 

e AuthUserFile 

e AuthzDBMAuthoritative 

e AuthzDBMType 

e AuthzDefaultAuthoritative 

e AuthzGroupFileAuthoritative 
e AuthzLDAPAuthoritative 

e AuthzOwnerAuthoritative 

e AuthzUserAuthoritative 

e BrowserMatch 

e BrowserMatchNoCase 
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e BufferedLogs 

e CacheDefaultExpire 
e CacheDirLength 

e CacheDirLevels 

e CacheDisable 

e CacheEnable 

e CacheFile 

e CachelgnoreCacheControl 
e CachelgnoreHeaders 
e CachelgnoreNoLastMod 
e CacheLastModifiedFactor 
e CacheMaxExpire 

e CacheMaxFileSize 

e CacheMinFileSize 

e CacheNegotiatedDocs 
e CacheRoot 

e CacheStoreNoStore 
e CacheStorePrivate 

e CGIMapExtension 

e CharsetDefault 

e CharsetOptions 

e CharsetSourceEnc 

e CheckSpelling 

e ContentDigest 

e CookieDomain 

e CookieExpires 

e CookieLog 

e CookieName 

e CookieStyle 

e CookieTracking 

e CoreDumpbDirectory 
e CustomLog 

e Dav 

e DavDepthlnfinity 

e DavGenericLockDB 
e DavLockDB 

e DavMinTimeout 

e DBDExptime 

e DBDKeep 

e DBDMax 
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e DBDMin 

e DBDParams 

e DBDPersist 

e DBDPrepareSQL 
e DBDriver 

e Defaulticon 

e DefaultLanguage 
e DefaultType 

e DeflateBufferSize 
e DeflateCompressionLevel 
e DeflateFilterNote 
e DeflateMemLevel 
e DeflateWindowSize 
e Deny 

e «Directory» 

e DirectoryIndex 

e <DirectoryMatch> 
e DirectorySlash 

e DocumentRoot 
e DumplOInput 

e DumplOOutput 
e EnableExceptionHook 
e EnableMMAP 

e EnableSendfile 
e ErrorDocument 
e ErrorLog 

e Example 

e ExpiresActive 

e ExpiresByType 

e ExpiresDefault 

e ExtendedStatus 
e ExtFilterDefine 

e ExtFilterOptions 
e FileETag 

e «Files? 

e <FilesMatch> 

e FilterChain 

e FilterDeclare 

e FilterProtocol 

e FilterProvider 
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e FilterTrace 

e ForceLanguagePriority 
e ForceType 

e ForensicLog 

e GracefulShutdownTimeout 
e Group 

e Header 

e HeaderName 

e HostnameLookups 

e |dentityCheck 

e |dentityCheckTimeout 

e «IfDefine» 

e «IfModule» 

e <IfVersion> 

e |mapBase 

e ImapDefault 

e ImapMenu 

e Include 

e Indexlgnore 

e IndexOptions 

e IndexOrderDefault 

e IndexStyleSheet 

e |SAPIAppendLogToErrors 
e ISAPIAppendLogToQuery 
e |SAPICacheFile 

e |SAPIFakeAsync 

e |SAPILogNotSupported 
e |SAPIReadAheadBuffer 
e KeepAlive 

e KeepAliveTimeout 

e L anguagePriority 

e | DAPCacheEntries 

e LDAPCacheTTL 

e LDAPConnectionTimeout 
e LDAPOpCacheEntries 
e LDAPOpCacheTTL 

e L DAPSharedCacheFile 
e LDAPSharedCacheSize 
e | DAPTrustedClientCert 
e LDAPTrustedGlobalCert 
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e LDAPTrustedMode 

e L DAPVerifyServerCert 
e «Limit» 

e <LimitExcept> 

e LimitlnternalRecursion 
e LimitRequestBody 

e LimitRequestFields 

e LimitRequestFieldSize 
e LimitRequestLine 

e LimitXMLRequestBody 
e listen 

e ListenBackLog 

e LoadFile 

e LoadModule 

e «Location? 

e <LocationMatch> 

e LockFile 

e LogFormat 

e LogLevel 

e MaxClients 

e MaxKeepAliveRequests 
e MaxMemFree 

e MaxRequestsPerChild 
e MaxRequestsPerThread 
e MaxSpareServers 

e MaxSpareThreads 

e MaxThreads 

e MCacheMaxObjectCount 
e MCacheMaxObjectSize 
e MCacheMaxStreamingBuffer 
e MCacheMinObjectSize 
e MCacheRemovalAlgorithm 
e MCacheSize 

e MetaDir 

e MetaFiles 

e MetaSuffix 

e MimeMagicFile 

e MinSpareServers 

e MinSpareThreads 

e MMapFile 
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e ModMimeUsePathlnfo 
e MultiviewsMatch 

e NameVirtualHost 

e NoProxy 

e NWSSLTrustedCerts 
e NWSSLUpgradeable 
e Options 

e Order 

e PassEnv 

e PidFile 

e ProtocolEcho 

e «Proxy» 

e ProxyBadHeader 

e ProxyBlock 

e ProxyDomain 

e ProxyErrorOverride 

e ProxylOBufferSize 

e <ProxyMatch> 

e ProxyMaxForwards 

e ProxyPass 

e ProxyPassReverse 

e ProxyPassReverseCookieDomain 
e ProxyPassReverseCookiePath 
e ProxyPreserveHost 

e ProxyReceiveBufferSize 
e ProxyRemote 

e ProxyRemoteMatch 
e ProxyRequests 

e ProxyTimeout 

e ProxyVia 

e ReadmeName 

e ReceiveBufferSize 

e Redirect 

e RedirectMatch 

e RedirectPermanent 

e RedirectTemp 

e RemoveCharset 

e RemoveEncoding 

e RemoveHandler 

e RemovelnputFilter 
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e RemoveLanguage 
e RemoveOutputFilter 


e RemoveType 

e RequestHeader 
e Require 

e RewriteBase 

e RewriteCond 

e RewriteEngine 
e RewriteLock 

e RewriteLog 

e RewriteLogLevel 
e RewriteMap 

e RewriteOptions 
e RewriteRule 

e RLimitCPU 

e RLimitMEM 

e RLimitNPROC 
e Satisfy 

e ScoreBoardFile 
e Script 

e ScriptAlias 

e ScriptAliasMatch 


e ScriptinterpreterSource 


e ScriptLog 

e ScriptLogBuffer 

e ScriptLogLength 
e ScriptSock 

e SecureListen 

e SendBufferSize 

e ServerAdmin 

e ServerAlias 

e ServerLimit 

e ServerName 

e ServerPath 

e ServerRoot 

e ServerSignature 
e ServerTokens 

e SetEnv 

e SetEnvlf 

e SetEnvlfNoCase 
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e SetHandler 

e SetlnputFilter 

e SetOutputFilter 

e SSIEndTag 

e SSIErrorMsg 

e SSIStartTag 

e SSlITimeFormat 

e SSlUndefinedEcho 

e SSLCACertificateFile 

e SSLCACertificatePath 

e SSLCADNRequestFile 

e SSLCADNRequestPath 

e SSLCARevocationFile 

e SSLCARevocationPath 

e SSLCertificateChainFile 

e SSLCertificateFile 

e SSLCertificateKeyFile 

e SSLCipherSuite 

e SSLCryptoDevice 

e SSLEngine 

e SSLHonorCipherOrder 

e SSLMutex 

e SSLOptions 

e SSLPassPhraseDialog 

e SSLProtocol 

e SSLProxyCACetrtificateF ile 
e SSLProxyCACertificatePath 
e SSLProxyCARevocationFile 
e SSLProxyCARevocationPath 
e SSLProxyCipherSuite 

e SSLProxyEngine 

e SSLProxyMachineCertificateFile 
e SSLProxyMachineCertificatePath 
e SSLProxyProtocol 

e SSLProxyVerify 

e SSLProxyVerifyDepth 

e SSLRandomSeed 

e SSLRequire 

e SSLRequireSSL 

e SSLSessionCache 
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e SSLSessionCacheTimeout 
e SSLUserName 

e SSLVerifyClient 

e SSLVerifyDepth 

e StartServers 

e StartThreads 

e SuexecUserGroup 

e ThreadLimit 

e ThreadsPerChild 

e ThreadStackSize 

e TimeOut 

e TraceEnable 

e TransferLog 

e TypesConfig 

e UnsetEnv 

e UseCanonicalName 

e UseCanonicalPhysicalPort 
e User 

e UserDir 

e VirtualDocumentRoot 
e VirtualDocumentRootlP 
e <VirtualHost> 

e VirtualScriptAlias 

e VirtualScriptAliasIP 

e Win32DisableAcceptEx 
e XBitHack 
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指令 速 查 列 出 了 每 个 指 邻 的 用 法 、 黑 认 值 、 状 态 和 作用 域 。 更 详细 的 说 明 可 以 查阅 指 今 字 


第 一 列 是 指令 的 名 称 和 用 法 ; 第 二 列 是 指令 的 黑 认 值 (如 果 存 在 )， 如 果 很 长 写 不 下 ， 则 后 面 
跟 有 "+" 表 示 截 断 。 第 三 和 第 四 列 是 指令 允许 出 现 的 位 置 和 状态 ， 其 中 缩 略 语 如 下 表 所 示 : 
s server config 
V virtual host 
directory 
htaccess 
核心 模块 
MPM 
基本 模块 
扩展 模块 
试验 模块 


x m oo Z o 了 c 


AcceptFilter protocol 
accept filter 


根据 协议 类 型 对 监听 Socket 进 行 优化 
method](Zcalibre link- 


[AcceptMutex Default 610) Default S 
Apache 用 于 串 行 化 多 个 子 进 程 在 (多 
个 ) 网 络 套 接 字 (socket) 上 接受 请 求 的 
方法 
Default] 
[AcceptPathInfo On Off (calibre link- De 
238) 
是 否 接受 附带 多 余 路 径 名 信息 的 请 求 
AccessFileName filename 
.htaccess SV C 
[filename] ... 
分 布 式 配 置 文件 的 名 字 
Action action-type cgi-script [virtual] svdh B 


针对 特定 的 义理 器 或 内 容 类 型 激活 一 
个 CGI 脚本 
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AddAlt string file [file] ... svdh B 


Alternate text to display for a file, 
instead of an icon selected by 
filename 


AddAltByEncoding string MIME- 


encoding [MIME-encoding] ... en E 


Alternate text to display for a file 
instead of an icon selected by 
MIME-encoding 


AddAItByType string MIME-type 


[MIME-type] ... Sveh p 


Alternate text to display for a file, 
instead of an icon selected by MIME 
content-type 


AddCharset charset extension 
[extension] ... 


在 给 定 的 文件 扩展 名 与 特定 的 字符 集 
之 间 建 立 映射 


svdh B 


charset] 
[AddDefaultCharset On Off (calibre link- Ofi 
328) 


当 应 答 内 容 是 text/plain 或 text/html 
时 ， 在 HTTP 应 答 头 中 加 入 的 默认 字 
符 集 


AddDescription string file [file] ... svdh B 
Description to display for a file 


AddEncoding MIME-enc extension 
[extension] ... 


在 文件 扩展 名 与 特定 的 编码 方式 之 间 
建立 映射 关系 


AddHandler handler-name 
extension [extension] ... 


在 文件 扩展 名 与 特定 的 处 理 器 之 间 建 
立 映 射 


Addlcon icon name [name] ... svdh B 


svdh B 


svdh B 


Icon to display for a file selected by 
name 


AddlconByEncoding icon MIME- 


encoding [MIME-encoding] ... sudh = 


Icon to display next to files selected 
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by MIME content-encoding 


AddlconByType icon MIME-type 


[MIME-type] ... svdh : 


Icon to display next to files selected 
by MIME content-type 


AddinputFilter filter[;filter...] 
extension [extension] ... 


在 文件 扩展 名 与 特定 的 输入 过 滤器 之 
间 建 立 映射 


AddLanguage MIME-lang extension 
[extension] ... 


在 文件 扩展 名 与 特定 的 语言 之 间 建 立 
映射 


AddModulelnfo module-name string SV E 


Aserver-infox 38 23 y zs B 318 MM 
额外 信息 


AddOutputFilter filter[;filter...] 
extension [extension] ... 


在 文件 扩展 名 与 特定 的 输出 过 滤器 之 
间 建 立 映 射 关系 


AddOutputFilterByType filter[;filter...] 
MIME-type [MIME-type] ... 


对 特定 的 MIME 类 型 指定 输出 过 滤器 


svdh B 


svdh B 


svdh B 


svdh C 


AddType MIME-type extension 
[extension] ... 


在 给 定 的 文件 扩展 名 与 特定 的 内 容 类 
型 之 间 建 立 映射 


svdh B 


directory-path] 


[Alias URL-path file-path (Éicalibre. link-220) SV B 
映射 URL 到 文件 系统 的 特定 区 域 
: Tes directory-path] 

[AliasMatch regex file-path (Éicalibre. link-512) SV B 
使 用 正则 表达 式 映 射 URL 到 文件 系统 

env=env- S 
[Allow from all host : ES 

variable [host 

DS 

控制 哪些 主机 能 够 访问 服务 器 的 该 区 
AllowCONNECT port [port] ... 443 563 SV E 


指令 速 查 895 


通过 代理 允许 CONNECT 的 端口 号 
[AllowEncodedSlashes On 

确定 是 否 允 许 URL 中 使 用 经 过 编码 的 
路 径 分 割 符 

[AllowOverride All 


确定 允许 存在 于 .htaccess 文 件 中 的 


指 合 类 型 
Anonymous user [user] ... 


Specifies userlDs that are allowed 
access without password 
verification 


[Anonymous LogEmail On 


Sets whether the password entered 
will be logged in the error log 


[Anonymous MustGiveEmail On 


Specifies whether blank passwords 
are allowed 


[Anonymous NoUserlD On 


Sets whether the userlD field may 
be empty 


[Anonymous VerifyEmail On 


Sets whether to check the password 
field for a correctly formatted email 
address 


[AuthBasicAuthoritative On 


指定 是 否 将 (基本 ) 认 证 和 授权 操作 交 
由 更 底层 的 模块 来 处 理 


AuthBasicProvider provider-name 
[provider-name] ... 


设置 该 区 域 的 (基本 ) 认 证 支持 者 
(Provider) 


AuthDBDUserPWQuery query 


SQL query to look up a password 
for a user 


AuthDBDUserRealmQuery query 


Off](#calibre_link-733) 


None 


dh 


Off](#calibre_link-735) 


Off](#calibre_link-736) 


Off](#calibre_link-737) 


Off](#calibre_link-738) 


Off](#calibre_link-739) 


file 


Off 


directive-type 
directive-type] 


On 
On 
Off 


Off 


On 


dh 


SV 


All 


dh 


dh 


dh 


dh 


dh 


NO 
N 


SQL query to look up a password 
hash for a user and realm. 


AuthDBMGroupFile file-path 


Sets the name of the database file 
containing the list of user groups for 
authorization 


[AuthDBMType default 


Sets the type of database file that is 
used to store passwords 


AuthDBMUserFile file-path 


Sets the name of a database file 
containing the list of users and 
passwords for authentication 


[AuthDefaultAuthoritative On 

指定 是 否 将 认证 操作 交 由 更 底层 的 模 
块 来 处 理 

[AuthDigestAlgorithm MD5 

选择 在 摘要 认证 中 用 于 计算 请 求 和 应 
答 的 散 列 值 的 算法 
AuthDigestDomain URI [URI] ... 


在 同一 保护 区 域 中 需要 进行 摘要 认证 
的 URI 


[AuthDigestNcCheck On 


Enables or disables checking of the 
nonce-count sent by the server 


AuthDigestNonceFormat format 


Determines how the nonce is 
generated 


AuthDigestNonceLifetime seconds 
服务 器 nonce( 当 前 值 ) 的 有 效 秒 数 


AuthDigestProvider provider-name 
[provider-name] ... 


设置 该 区 域 的 (摘要 ) 认 证 支持 者 
(Provider) 


[AuthDigestQop none 


SDBM 


dh 


Off](#calibre_link-745) 


MD5-sess](#calibre_link- 
746) 


dh 


Off](#calibre_link-748) 


300 


file 


auth 


GDBM 


On 


MD5 


Off 


dh 


dh 


auth-int [auth 


NE 


dh 


dh 


(#c 


指定 摘要 认证 的 保护 质量 
AuthDigestShmemsSize size 

为 了 跟踪 客户 端 而 分 配 的 共享 内 存 字 
节 数 

AuthGroupFile file-path 


设 定 一 个 包含 用 于 执行 用 户 认 证 的 用 
户 组 列表 的 纯 文本 文件 


AuthLDAPBindDN distinguished- 
name 


Optional DN to use in binding to the 
LDAP server 


AuthLDAPBindPassword password 


Password used in conjuction with 
the bind DN 


AuthLDAPCharsetConfig file-path 


Language to charset conversion 
configuration file 


[AuthLDAPCompareDNOnServer 
on 


Use the LDAP server to compare 
the DNs 


[AuthLDAPDereferenceAliases 
never 


When will the module de-reference 
aliases 
AuthLDAPGroupAttribute attribute 


LDAP attributes used to check for 
group membership 


[AuthLDAPGroupAttributelsDN on 


Use the DN of the client username 
when checking for group 
membership 


[AuthLDAPRemoteUserlsDN on 


Use the DN of the client username 
to set the REMOTE_USER 
environment variable 


1000 


dh 


dh 


dh 


off](#calibre_link-757) 


searching 


dh 


off](#calibre_link-760) 


off](#calibre_link-761) 


on 


finding 


on 


off 


TA 


dh 


alv 
(#c 
75 


dh 


dh 


[AuthLDAPUrl |. url [NONE SSL 


URL specifying the LDAP search 
parameters 


AuthName auth-domain dh 
用 于 HTTP 认 证 的 授权 域 


<AuthnProviderAlias baseProvider 
Alias» ... </AuthnProviderAlias> 


封装 一 组 定义 扩展 认证 支持 者 的 指 
令 ， 并 为 其 指定 一 个 别名 


SV 


Digest](#calibre_link- 
[AuthType Basic 323) 
用 户 认证 类 型 

AuthUserFile file-path dh 


设 定 一 个 含有 认证 使 用 的 用 户 名 / 密 
码 列 表 的 纯 文本 文件 


[AuthzDBMAuthoritative On Off](#calibre_link-764) 


Sets whether authorization will be 
passed on to lower level modules 


[AuthzDBMType default SDBM 


Sets the type of database file that is 
used to store list of user groups 


[AuthzDefaultAuthoritative On Off](#calibre_link-766) 


指定 是 否 将 授权 操作 交 由 更 底层 的 模 
块 来 处 理 


[AuthzGroupFileAuthoritative On Off](#calibre_link-767) 


指定 是 否 将 授权 操作 交 由 更 底层 的 模 
块 来 义理 


[AuthzLDAPAuthoritative on off](#calibre_link-768) 


Prevent other authentication 
modules from authenticating the 
user if this one fails 


[AuthzOwnerAuthoritative On Off](#calibre_link-769) 


指定 是 否 将 授权 操作 交 由 更 底层 的 模 
块 来 义理 


TLS 


dh 


On 


GDBM 


On 


On 


on 


On 


ST 
(#c 
76. 


dh 


NE 


dh 


dh 


dh 


dh 


Lu 


[AuthzUserAuthoritative On 


指定 是 否 将 授权 操作 交 由 更 底层 的 模 
块 来 义理 


BrowserMatch regex [!Jenv- 
variable[-value] [[!]env- 
variable[=value]] ... 


基于 User-Agent 关 有 条 件 地 设置 环境 
变量 


BrowserMatchNoCase regex [!]env- 
variable[-value] [[']env- 
variable[-value]] ... 


基于 不 区 分 大 小 写 的 User-Agent 头 有 
条 件 地 设置 环境 变量 


[BufferedLogs On 


在 将 日 志 写 入 磁 瘟 前 先 在 内 存 中 进行 
缓冲 


CacheDefaultExpire seconds 


The default duration to cache a 
document when no expiry date is 
specified. 


CacheDirLength length 


The number of characters in 
subdirectory names 


CacheDirLevels levels 


The number of levels of 
subdirectories in the cache. 


CacheDisable url-string 
Disable caching of specified URLs 
CacheEnable cache type url-string 


Enable caching of specified URLs 
using a specified storage manager 


CacheFile file-path [file-path] ... 


Cache a list of file handles at startup 
time 


[CachelgnoreCacheControl On 


Ignore request to not serve cached 
content to client 


CachelgnoreHeaders header-string 


Off](#calibre_link-770) 


svdh 


svdh 


Off](#calibre_link-771) 


3600 (one hour) 


SV 


SV 


Off](#calibre_link-772) 


None 


On dh 

B 

B 

Off S 

SV E 

SV E 

SV E 

E 

E 

X 

Off SV 

SV E 
900 


[header-string] ... 


Do not store the given HTTP 


header(s) in the cache. 


[CachelgnoreNoLastMod On 


Ignore the fact that a response has 
no Last Modified header. 


CacheLastModifiedFactor float 


The factor used to compute an 
expiry date based on the 


LastModified date. 


CacheMaxExpire seconds 


The maximum time in seconds to 


cache a document 


CacheMaxFileSize bytes 


The maximum size (in bytes) of a 
document to be placed in the cache 


CacheMinFileSize bytes 


The minimum size (in bytes) of a 
document to be placed in the cache 


[CacheNegotiatedDocs On 
人 允许 经 过 内 容 协商 的 文档 被 代理 服务 


器 缓存 


CacheRoot directory 


The directory root under which 


cache files are stored 


[CacheStoreNoStore On 


Attempt to cache requests or 
responses that have been marked 


as no-store. 


[CacheStorePrivate On 


Attempt to cache responses that the 
server has marked as private 


CGIMapExtension cgi-path 


.extension 
定位 CGI 脚本 解释 器 


CharsetDefault charset 


Charset to translate into 


None 


Off](#calibre_link-461) 


0.1 


86400 (one day) 


1000000 


Off](#calibre_link-239) 


SV 


Off](#calibre_link-463) 


Off](#calibre_link-462) 


dh 


svdh 


SV 


Off 


SV 


SV 


SV 


SV 


Off 


Off 


Off 


SV 


SV 


SV 


SV 


CharsetOptions option [option] ... 


Configures charset translation 
behavior 


CharsetSourceEnc charset 
Source charset of files 
[CheckSpelling on 

Enables the spelling module 
[ContentDigest On 

允许 生成 Content-MD5 应 答 头 


CookieDomain domain 


The domain to which the tracking 


cookie applies 


CookieExpires expiry-period 


Expiry time for the tracking cookie 


CookieLog filename 
设 定 针对 cookies 的 日 志文 件 名 
CookieName token 


Name of the tracking cookie 


[CookieStyle Netscape 


Format of the cookie header field 


[CookieTracking on 
Enables tracking cookie 
CoreDumpDirectory directory 


Apache 使 用 的 内 核 转 储 目录 


[CustomLog file 


设 定 日 志 的 文件 名 和 格式 


[Dav On 


Enable WebDAV HTTP methods 


DebugLevel=0 Nolmpl + 


svdh 


off](#calibre_link-513) 


Off](#calibre_link-779) 


svdh 


svdh 


SV 


Apache 


Cookie 


off](#calibre_link-627) 


pipe format 


Off 


svdh 


Off 


Off 


svdh 


Cookie2 


off 


nickname 
env= 
[!Jenvironment- 
variable] 


provider- 
name] 
(#calibre_link- 
781) 


SW 


SW 


RF 


SV 


SV 


Ofi 
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Enable WebDAV HTTP methods 


[DavDepthlnfinity on off](#calibre_link-782) off Sw 
Allow PROPFIND, Depth: Infinity 

requests 

DavGenericLockDB file-path svd E 


Location of the DAV lock database 

DavLockDB file-path SV E 

Location of the DAV lock database 

DavMinTimeout seconds 0 svd E 


Minimum amount of time the server 
holds a lock on a DAV resource 


DBDExptime time-in-seconds SV E 


Keepalive time for idle connections 


DBDKeep number SV E 
Maximum sustainednumber of 

connections 

DBDMax number SV E 


Maximum number of connections 
DBDMin number SV 2 
Minimum number of connections 


DBDParams 
param1-value1[,param2-value2] 


Parameters for database connection 
[DBDPersist 0 1](#calibre_link-790) SV E 


Whether to use persistent 
connections 


DBDPrepareSQL "SQL statement" 
label 


SV E 
Define an SQL prepared statement 

DBDriver name SV E 
Specify an SQL driver 

Defaultlcon url-path svdh B 


Icon to display for files when no 
specific icon is configured 
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为 所 有 文件 设 定 特定 的 默认 语言 
DefaultType MIME-type 


在 服务 器 无 法 由 其 他 方法 确定 内 容 类 
型 时 ， 发 送 的 默认 MIME 内 容 类 型 


DeflateBufferSize value 

用 于 zlib 一 次 压缩 的 片断 大 小 ( 字 节 ) 
DeflateCompressionLevel value 

将 输出 内 容 压缩 的 程度 
DeflateFilterNote [type] notename 
在 日 志 中 放置 压缩 率 标记 
DeflateMemLevel value 

zlib 在 压缩 时 最 多 可 以 使 用 多 少 内 存 
DeflateWindowsSize value 


Zlib =. 4 i O (compression window) 
的 大 小 


[Deny from all 


控制 哪些 主机 被 禁止 访问 服务 器 


«Directory directory-path> ... 
</Directory> 


封装 一 组 指令， 使 之 仅 对 文件 空间 中 
的 某 个 目录 及 其 子 目 录 生 效 


DirectoryIndex local-url [local-url] ... 


当 客 户 端 请 求 一 个 目录 时 寻找 的 资源 
列表 


«DirectoryMatch regex> ... 
</DirectoryMatch> 


封装 一 些 指 今 并 作用 于 文件 系统 中 匹 
配 正则 表达 式 的 所 有 目录 及 其 子 目录 


[DirectorySlash On 


打开 或 关闭 目录 结尾 斜 线 (/) 自 动 补 全 
功能 


DocumentRoot directory-path 


组 成 网 络 上 可 见 的 主 文档 树 的 根 目录 


text/plain 


8096 


SV 


SV 


15 


host 


SV 


index.html 


SV 


Off](#calibre_link-799) 


/usr/local/apache/h + 


svdh CG 

SV E 

E 

E 

SV E 

SV E 

env=env- e 

variable [host 58 

(v; 

svdh B 

© 

On Sw 

SV © 
904 


[DumplOInput On 

将 所 有 输入 的 内 容 记 录 到 错误 日 志 中 
[DumplOOutput On 

将 所 有 输出 的 内 容 记 录 到 错误 日 志 
[EnableExceptionHook On 


在 子 进 程 崩 溃 以 后 启用 一 个 钩子 来 运 


行 异常 处 理 程序 
[EnableMMAP On 


在 递送 中 使 用 内 存 映 射 (memory- 
mapping) 来 读 取 文件 


[EnableSendfile On 


使 用 操作 系统 内 核 的 sendfile 支 持 来 
将 文件 发 送 到 客户 端 


ErrorDocument error-code 
document 


当 遇 到 错误 的 时 候 服务 器 将 给 客户 端 
什么 样 的 应 答 


[ErrorLog file-path 


存放 错 i 误 日 日 志 的 位 置 
Example 


Demonstration directive to illustrate 
the Apache module API 


[ExpiresActive On 


启用 或 禁用 产生 "Expires:" 和 "Cache- 
Control:" 头 的 功能 


ExpiresByType MIME-type 
<code>seconds 


由 MIME 类 型 配置 的 Expires 头 的 值 
ExpiresDefault <code>seconds 
默认 有 效 期 的 计算 方法 
[ExtendedStatus On 


Keep track of extended status 
information for each request 


ExtFilterDefine filtername 
parameters 


Off](#calibre_link-800) 


Offl(#calibre_link-801) 


Offl(#calibre_link-802) 


Off](#calibre_link-605) 


Off](#calibre_link-606) 


svdh 


syslog:facility] 


svdh 


Off](#calibre_link-804) 


svdh 


svdh 


Off](#calibre_link-807) 


Off S 
Off S 
Off S 
On sw 
On sw 
C 


logs/error log 


(Uni + Ss 


svdh E 


Off S 


Define an external filter 
ExtFilterOptions option [option] ... 


Configure mod ext filter options 
FileETag component ... 

用 以 创建 ETag 应 答 头 的 文件 的 属性 
«Files filename» ... </Files> 

包含 作用 于 匹配 指定 文件 名 的 指令 


<FilesMatch regex> ... 
</FilesMatch> 


包含 作用 于 与 正则 表达 式 匹 配 的 文件 


名 的 指 今 

FilterChain [+=-@Ifilter-name ... 
Configure the filter chain 
FilterDeclare filter-name [type] 
Declare a smart filter 


FilterProtocol filter-name [provider- 
name] proto-flags 


Deal with correct HTTP protocol 
handling 


[FilterProvider filter-name provider- 
name [req 


Register a content filter 
FilterTrace filter-name level 


Get debug/diagnostic information 
from mod filter 


[ForceLanguagePriority None 


指定 无 法 匹配 单个 文档 的 情况 下 所 采 


取 的 动作 
[ForceType MIME-type 


强制 所 有 匹配 的 文件 被 作为 指定 的 
MIME 类 型 进行 伺服 


[ForensicLog flename 


DebugLevel=0 NoLogS 
+ 


INode MTime Size 


svdh 


svdh 


svdh 


svdh 


svdh 


resp 


svd 


Prefer 


None](Zcalibre link-342) 


pipe](#calibre_link-497) 


svdh 


env]=dispatch 
match] 
(#calibre_link- 
63) 


Fallback 
[Prefer 


dh 


SV 


SV( 


Fa 
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Sets filename of the forensic log 
GracefulShutDownTimeout seconds 
指定 优雅 停止 服务 器 的 超时 秒 数 
Group unix-group 

对 请 求 提供 服务 的 Apache 子 进程 运 
行 时 的 用 户 组 


[Header [condition] set 


配置 HTTP 应 答 头 
HeaderName filename 


Name of the file that will be inserted 
at the top of the index listing 


[HostnameLookups On 


启用 对 客户 端 IP 的 DNS 查找 
[IdentityCheck On 


启用 对 远 端 用 户 的 RFC1413 身 份 鉴 
定 的 日 志 


IdentityCheckTimeout seconds 


Determines the timeout duration for 
ident requests 


«IfDefine [!]parameter-name> ... 
«IIfDefine» 


封装 一 组 只 有 在 启动 时 当 测 试 结果 为 
真 时 才 生 效 的 指令 

[<lfModule [!]module-file 

封装 指 合并 根据 指定 的 模块 是 否 馈 用 
为 条 件 而 决定 是 否 进行 处 理 


«IfVersion [[!Joperator] version? ... 
</IfVersion> 


contains version dependent 
configuration 


[ImapBase map 


S 


3-1 


append 


svdh 


Off 


Off](#calibre_link-810) 


30 


svdh 


module-identifier> ... 
«/IfModule?] 
(#calibre_link-447) 


svdh 


referer 


add 


Double] 
(#calibre_link- 
493) 


Off 


svd 


svdh 


URL] 
(#calibre_link- 
99) 


un: 


Ofi 


SW 


htt 


Default base forimagemap files 


[ImapDefault error nocontent 
Default action when an imagemap is 

called with coordinates that are not 

explicitly mapped 

[ImapMenu none formatted 


Action if no coordinates are given 
when calling an imagemap 


directory-path] 


[Include file-path (#calibre_link-32) 


在 服务 器 配置 文件 中 包含 其 它 配 置 文 
件 


Indexlgnore file [file] ... svdh 


Adds to the list of files to hide when 
listing a directory 


[IndexOptions [+ -Joption [[* 


Various configuration settings for 
directory indexing 


[IndexOrderDefault Ascending Descending Name 


Sets the default ordering of the 
directory index 


IndexStyleSheet url-path svdh 


Adds a CSS stylesheet to the 
directory index 


[ISAPIAppendLogToErrors on 


把 ISAPI 扩 展 的 
HSE APPEND LOG PARAMETER 
请 求 记 录 在 错误 日 志 


[ISAPIAppendLogToQuery on 


把 ISAPI 扩 展 的 
HSE APPEND LOG PARAMETER 
请 求 记 录 在 查询 域 中 


off](#calibre_link-159) 


off](#calibre_link-158) 


map 


semiformatted 


svd 


-Joption] ...] 
(calibre link- 
241) 
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ISAPICacheFile file-path [file-path] 


启动 时 载 入 的 ISAPI 动 态 连接 库 
[ISAPIFakeAsync on 

为 ISAPI 回 调 模 拟 异 步 支 持 
[ISAPILogNotSupported on 

记录 ISAPI 不 支持 的 功能 调用 
ISAPIReadAheadBuffer size 

传送 到 ISAPI 扩 展 的 预 读 缓冲 区 大 小 
[KeepAlive On 

启用 HTTP 持 久 链 接 
KeepAliveTimeout seconds 


持久 链接 中 服务 器 在 两 次 请 求 之 间 等 
待 的 秒 数 


LanguagePriority MIME-lang 
[MIME-lang] ... 


在 客户 端 没 有 指示 语言 偏好 的 情况 
下 ， 语 言 变 体 的 优先 级 列表 


LDAPCacheEntries number 

主 LDAP 缓 冲 的 最 大 条 目 数 
LDAPCacheTTL seconds 
search/bind 缓 冲 项 目 有 效 时 限 
LDAPConnectionTimeout seconds 
指定 套 接 字 连接 超时 秒 数 
LDAPOpCacheEntries number 
LDAP compare 缓 冲 区 的 大 小 
LDAPOpCacheTTL seconds 

操作 缓冲 有 效 时 限 


LDAPSharedCacheFile directory- 
path/filename 


设置 共享 内 存 缓冲 区 文件 
LDAPSharedCacheSize bytes 
共享 内 存 缓冲 区 的 字 节 大 小 


off](#calibre_link-813) 


off|(#calibre_link-814) 


49152 


Off](#calibre_link-50) 


svdh 


1024 


600 


1024 


600 


102400 


off 


off 
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directory-path/filename/nickname 
[password] 


Sets the file containing or nickname 
referring to a per connection client 
certificate. Not all LDAP toolkits 
support per connection client 
certificates. 


LDAPTrustedGlobalCert type 
directory-path/filename [password] 


Sets the file or database containing 
global trusted Certificate Authority 
or global client certificates 


LDAPTrustedMode type 


Specifies the SSL/TLS mode to be 
used when connecting to an LDAP 
server. 


[LDAPVerifyServerCert On 
Force server certificate verification 


«Limit method [method] ... > ... 
</Limit> 


仅 对 指定 的 HTTP 方 法 进行 访问 控制 


«LimitExcept method [method] ... > 
... </LimitExcept> 


对 除了 指定 方法 以 外 的 所 有 HTTP 方 
法 进行 访问 控制 


LimitlnternalRecursion number 
[number] 


指定 内 部 重 定向 和 府 套 子 请 求 的 最 大 
数量 


LimitRequestBody bytes 


限制 客户 端 发 送 的 HTTP 请 求 体 的 最 
大 字 节 长度 


LimitRequestFields number 


限制 接受 客户 端 请 求 中 HTTP 请 求 头 
域 的 数量 


LimitRequestFieldsize bytes 
限制 客户 端 发 送 的 请 求 头 的 字 节 数 
LimitRequestLine bytes 


svdh 


svdh 


Off](#calibre_link-818) 


svdh 


svdh 
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8190 


On 
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限制 接受 客户 端 发 送 的 HTTP 请 求 行 
的 字 节 数 

LimitXMLRequestBody bytes 
限制 基于 XML 的 请 求 体 的 大 小 


Listen [IP-address:]portnumber 
[protocol] 


服务 器 监听 的 IP 地 址 和 端口 
ListenBacklog backlog 


半 链 接 (pending connection) 队 列 的 
最 大 长 度 


LoadFile filename [filename] ... 
加 载 已 命名 的 目标 文件 或 库 
LoadModule module filename 


加 载 目标 文 件 或 库 ， 并 将 其 添加 到 活 
动 模块 列表 


[<Location URL-path 


将 封装 的 指令 作用 于 匹配 的 URL 


«LocationMatch regex> ... 
</LocationMatch> 


将 封装 的 指令 作用 于 正则 表达 式 匹 配 
的 URL 


LockFile filename 
接受 串 行 锁 文 件 的 位 置 


[LogFormat format 


定义 访问 日 志 的 记录 格式 

LogLevel level 

控制 错误 日 志 的 详细 程度 
MaxClients number 

允许 同时 伺服 的 最 大 接 人 请 求 数量 
MaxKeepAliveRequests number 

一 个 持久 链接 中 人 允许 的 最 大 请 求 数量 
MaxMemFree KBytes 


1000000 


URL»? ... </Location>] 
(calibre link-118) 


SV 


logs/accept.lock 


nickname nickname] 


warn 


100 
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况 下 人 允许 持 有 的 最 大 自由 内 存 数量 


(KB) 


MaxRequestsPerChild number 


每 个 子 进 程 在 其 生存 期 内 允许 伺服 的 
最 大 请 求 数量 


MaxRequestsPerThread number 


Limit on the number of requests that 
an individual thread will handle 
during its life 


MaxSpareServers number 
空闲 子 进程 的 最 大 数量 
MaxSpareThreads number 
最 大 空闲 线程 数 
MaxThreads number 


Set the maximum number of worker 
threads 


MCacheMaxObjectCount value 
最 大 缓存 对 象 数 
MCacheMaxObjectSize bytes 
缓存 允许 的 最 大 文档 大 小 ( 字 节 ) 


MCacheMaxsStreamingBuffer 
size in bytes 


内 存 中 人 允许 缓冲 的 最 大 流 式 响 应 字 节 
长 度 


MCacheMinObjectSize bytes 
允许 缓存 的 最 小 文档 大 小 ( 字 节 ) 


[MCacheRemovalAlgorithm LRU 


定义 在 需要 时 哪个 文档 被 移出 缓存 的 


算法 


MCacheSize KBytes 


缓存 允许 使 用 的 最 大 内 存量 ， 以 KB 
为 单位 


MetaDir directory 


Name of the directory to find CERN- 
style meta information files 





10000 


10 


2048 


1009 


10000 


the smaller of 1000 + 


GDSF](£calibre link- 
827) 


100 


.web 


GDSF 
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[MetaFiles on off](#calibre_link-830) off Sw 
Activates CERN meta-file 

processing 

MetaSuffix suffix .meta svdh E 


File name suffix for the file containg 
CERN-style meta information 


MimeMagicFile file-path SV E 


使 用 特定 的 Magic 文 件 激 活 根据 文件 
内 容 确 定 文件 MIME 类 型 的 功能 


MinSpareServers number 5 S M 
空闲 子 进 程 的 最 小 数量 

MinSpareThreads number S M 

最 小 空闲 线程 数 

MMapFile file-path [file-path] ... S X 

Map a list of files into memory at 

startup time 

[ModMimeUsePathInfo On Off](#calibre_link-832) Off d 
将 path_info 当 成 是 文件 名 的 一 个 组 成 

部 分 

[MultiviewsMatch Any NegotiatedOnly Filters " 


在 使 用 MultiViews 查 询 所 匹配 的 文件 


时 要 包含 的 文件 类 型 

NameVirtualHost addr[:port] S C 
为 一 个 基于 域名 的 虚拟 主机 指定 一 个 

IP 地 址 (和 端口 ) 

NoProxy host [host] ... SV E 


直接 进行 连接 的 主机 / 域 /网 络 
NWSSLTrustedCerts filename 


[filename] ... j i 
附加 的 客户 端 证 书 列 表 
NWSSLUpgradeable [IP- S B 


address:]portnumber 


人 允许 在 请 求 中 将 一 个 连接 升级 为 SSL 
连接 


It. a 142 
JB TIRE 913 


[Options [+ 


配置 在 特定 目录 中 可 以 使 用 哪些 特性 


Order ordering 


控制 默认 的 访问 状态 与 Alow 和 Deny 


指令 生效 的 顺序 


PassEnv env-variable [env-variable] 


传送 shell 中 的 环境 变量 
PidFile filename 


服务 器 用 于 记录 父 进 程 (监控 进 
程 )PID 的 文件 


[ProtocolEcho On 
Turn the echo server on or off 
<Proxy wildcard-url> ...</Proxy> 


应 用 于 所 代理 资源 的 容器 


[ProxyBadHeader IsError 


确定 如 何 义 理 不 合法 的 应答 头 


[ProxyBlock * 


设置 被 代理 屏蔽 的 语句 、 主 机 、 域 


ProxyDomain Domain 
代理 请 求 的 默认 域名 
[ProxyErrorOverride On 
覆盖 代理 内 容 的 错误 页 
ProxylOBufferSize bytes 
内 部 缓冲 区 大 小 


<ProxyMatch regex> ... 
</ProxyMatch> 


应 用 于 匹配 正则 表达 式 的 代理 资源 的 


容器 
ProxyMaxForwards number 


转发 请 求 的 最 大 代理 数目 


-]option [[+ 


Deny,Allow 


svdh 


logs/httpd.pid 


Off](#calibre_link-833) 


SV 


Ignore 


word 


SV 


Off](#calibre_link-835) 


8192 


SV 


10 


(#calibre_link- 
153) 


dh 


SV 


StartBody] 
(#calibre_link- 
834) 


host 


Off 


SV 


SV 


Z 


IsE 


do: 


SV 


Lu 


转发 请 求 的 最 大 代理 数目 


url key-value key=value 


[ProxyPass [path] ! y 


将 一 个 远 端 服务 器 映射 到 本 地 服务 器 
的 URL 空 间 中 
ProxyPassReverse [path] url svd 


调整 由 反 向 代理 服务 器 发 送 的 HTTP 
应 答 头 中 的 URL 


ProxyPassReverseCookieDomain 


internal-domain public-domain svd 


Adjusts the Domain string in Set- 
Cookie headers from a reverse- 
proxied server 


ProxyPassReverseCookiePath 


internal-path public-path eve 


Adjusts the Path string in Set- 
Cookie headers from a reverse- 
proxied server 


[ProxyPreserveHost On Off](#calibre_link-670) 


使 用 进入 的 HTTP 请 求 头 来 发 送 代理 
请 求 


ProxyReceiveBufferSize bytes 0 


代理 HTTP 和 FTP 连 接 的 接收 缓冲 区 
大 小 ( 字 节 ) 


ProxyRemote match remote-server SV 
用 于 处 理 某 些 特定 请 求 的 远 端 代理 


ProxyRemoteMatch regex remote- 
server 


义理 匹配 正则 表达 式 的 请 求 的 远 端 代 
理 


[ProxyRequests On Off] (#calibre_link-407) 
启用 正 向 (标准 ) 代 理 请 求 
ProxyTimeout seconds 300 


代理 请 求 的 网 络 超时 


SV 


[ProxyVia On Off 


控制 代理 对 Via 应 答 头 的 使 用 


svd 


Off 


SV 


Off 


SV 


Full 


SV 


SV 
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ReadmeName filename 


Name of the file that will be inserted 
at the end of the index listing 


ReceiveBufferSize bytes 
TCP 接 收 缓冲 区 大 小 ( 字 节 ) 
Redirect [status] URL-path URL 


发 送 一 个 外 部 重 定向 使 客户 端 重 定向 
到 一 个 不 同 的 URL 
RedirectMatch [status] regex URL 


基于 正则 表达 式 匹 配对 当前 的 URL 发 
送 一 个 外 部 重 定向 


RedirectPermanent URL-path URL 
发 送 一 个 外 部 永久 重 定向 使 客户 端 重 
定向 到 一 个 不 同 的 URL 
RedirectTemp URL-path URL 

发 送 一 个 外 部 临时 重 定向 使 客户 端 重 
定向 到 一 个 不 同 的 URL 


RemoveCharset extension 
[extension] ... 


删除 任何 给 定 的 扩展 名 与 内 容 字符 集 
之 间 的 关联 


RemoveEncoding extension 
[extension] ... 


删除 任何 给 定 的 扩展 名 与 内 容 编 码 方 
式 之 间 的 天 联 


RemoveHandler extension 
[extension] ... 


删除 任何 指定 扩展 名 与 处 理 器 之 间 的 
天 联 


RemovelnputFilter extension 
[extension] ... 


删除 指定 扩展 名 与 输入 过 滤器 之 间 的 
天 联 


RemoveLanguage extension 
[extension] ... 


删除 指定 的 扩展 名 与 内 容 语言 之 间 的 
天 联 


RemoveOutputFilter extension 
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RemoveOutputFilter extension 
[extension] ... 


删除 指定 扩展 名 与 输出 过 滤器 之 间 的 


关联 


RemoveType extension [extension] 


删除 指定 扩展 名 与 内 容 类 型 之 间 的 关 


联 


[RequestHeader set 


配置 HTTP 请 求 头 


Require entity-name [entity-name] 


指定 哪些 认证 用 户 允 许 访 问 该 资源 
RewriteBase URL-path 


Sets the base URL for per-directory 
rewrites 


RewriteCond TestString 
CondPattern 


Defines a condition under which 
rewriting will take place 


[RewriteEngine on 


Enables or disables runtime 
rewriting engine 


RewriteLock file-path 


Sets the name of the lock file used 
for RewriteMap synchronization 


RewriteLog file-path 


Sets the name of the file used for 
logging rewrite engine processing 


RewriteLogLevel Level 


Sets the verbosity of the log file 
used by the rewrite engine 


RewriteMap MapName 
Map Type:MapSource 


Defines a mapping function for key- 
lookup 


RewriteOptions Options 





vdh 


vdh 
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dh 


dh 
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SV 


SV 


svdh 
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SV 
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Sets some special options for the 
rewrite engine 


RewriteRule Pattern Substitution 
Defines rules for the rewriting 
engine 


[RLimitCPU seconds 


限制 Apache 子 进程 派生 的 进程 占用 
CPU 的 最 大 秒 数 


[RLimitMEM bytes 


限制 由 Apache 子 进程 派生 的 进程 占 
用 的 最 大 内 存 字 节 数 


[RLimitNPROC number 

限制 由 Apache 子 进程 派生 的 进程 所 
派生 的 进程 数目 

[Satisfy Any 


主机 级 别 的 访问 控制 和 用 户 认 证 之 间 
的 相互 关系 


ScoreBoardFile file-path 


存储 子 进程 协调 数据 (coordination 
data) 的 文件 


Script method cgi-script 
对 特定 的 请 求 方法 激活 一 个 CGI 脚 本 


[ScriptAlias URL-path file-path 


映射 一 个 URL 到 文件 系统 并 视 之 为 
CGI 脚本 


[ScriptAliasMatch regex file-path 


使 用 正则 表达 式 映射 一 个 URL 到 文件 
系统 并 视 之 为 CGI 脚本 


[ScriptlnterpreterSource Registry 


svdh 


max [seconds 


max [bytes 


max [number 


Allj(&ícalibre link-644) 


logs/apache status 


svd 


directory-path] 


(#calibre_link-219) 


directory-path] 
(#calibre_link-518) 


Registry-Strict 


max]] 
(#calibre_link- 
479) 


max]] 
(#calibre_link- 
480) 


max]] 
(#calibre_link- 
481) 
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SV 
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定位 CGI 脚本 解释 器 


ScriptLog file-path SV B 
CGI 脚本 错误 日 志文 件 的 位 置 
ScriptLogBuffer bytes 1024 SV B 


记 入 日 志文 件 的 PUT 或 POST 请 求 头 
的 最 大 数量 


ScriptLogLength bytes 10385760 SV B 
日 志文 件 的 大 小 限制 ( 字 节 ) 
ScriptSock file-path logs/cgisock SV B 


用 来 与 CGI 守护 进程 通信 的 套 接 字 文 
件 名 前 组 


SecureListen [IP- 
address:]portnumber Certificate- S B 
Name [MUTUAL] 


在 指定 端口 启用 SSL 加 密 

SendBufferSize bytes 0 S M 
TCP 发 送 缓冲 区 大 小 ( 字 节 ) 

[ServerAdmin email-address URL](Zcalibre link-45) SV C 


服务 器 返回 给 客户 端的 错误 信息 中 包 
含 的 管理 员 邮 件 地 址 


ServerAlias hostname [hostname] ... | v C 
匹配 一 个 基于 域名 的 虚拟 主机 的 别名 

ServerLimit number S M 
服务 器 允许 配置 的 进程 数 上 限 


ServerName fully-qualified-domain- 


name[:port] dd x 
服务 器 用 于 辨识 自己 的 主机 名 和 端口 
5 
ServerPath URL-path V C 
为 兼容 性 不 好 的 浏览 器 访问 基于 域名 
的 虚拟 主机 保留 的 URL 路 径 名 
ServerRoot directory-path /usr/local/apache S C 
安装 服务 器 的 基础 目录 
EMail] 
[ServerSignature On Off (calibre link- Of 
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配置 服务 器 生成 页 面 的 页 脚 


[ServerTokens Major Minor Min[imal] Pr 


配置 "Server:" 应 答 头 
SetEnv env-variable value svdh B 
设置 环境 变量 


SetEnvlf attribute regex [!Jenv- 
variable[=value] [[!]env- svdh B 
variable[-value]] ... 


根据 客户 端 请 求 属性 设置 环境 变量 


SetEnvlfNoCase attribute regex 
[!Jenv-variable[=value] [[!]env- svdh B 
variable[-value]] ... 


根据 大 小 写 无 关 的 客户 端 请 求 属性 设 
BRE S 


[SetHandler handler-name None](Zcalibre link-97) svdh C 


强制 所 有 匹配 的 文件 被 一 个 指定 的 处 
EB as TB 


SetlnputFilter filter[;filter...] svdh C 


ik BAIE Pimi KIAPOSTH A t 
使 用 的 过 滤器 


SetOutputFilter filter[;filter...] svdh C 


设置 用 于 处 理 服务 器 输出 应 答 的 过 滤 
at 


SSIEndTag tag ">" SV B 
String that ends an include element 
SSIErrorMsg message "[an error occurred + svdh B 


Error message displayed when 
there is an SSI error 


SSIStartTag tag "<!--#f" SV B 
String that starts an include element 


"*A, Yd-Yob-%Y 


9, H:9M + svdh B 


SSITimeFormat formatstring 


Configures the format in which date 
strings are displayed 
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SSIUndefinedEcho string 


String displayed when an unset 
variable is echoed 


SSLCACertificateFile file-path 


File of concatenated PEM-encoded 
CA Certificates for Client Auth 


SSLCACertificatePath directory- 


path 


Directory of PEM-encoded CA 
Certificates for Client Auth 


SSLCADNRequestFile file-path 


File of concatenated PEM-encoded 
CA Certificates for defining 
acceptable CA names 


SSLCADNRequestPath directory- 


path 


Directory of PEM-encoded CA 
Certificates for defining acceptable 
CA names 


SSLCARevocationFile file-path 


File of concatenated PEM-encoded 
CA CRLs for Client Auth 


SSLCARevocationPath directory- 


path 


SSLCertificateChainFile file-path 


SSLCertificateFile file-path 


Server PEM-encoded X.509 
Certificate file 


SSLCertificateKeyFile file-path 


Server PEM-encoded Private Key 


Directory of PEM-encoded CA CRLs 
for Client Auth 


File of PEM-encoded Server CA 
Certificates 


file 


SSLCipherSuite cipher-spec 


Cipher Suite available for 





"(none)" 


SV 


SV 


SV 


SV 


SV 


SV 


SV 
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SSLCryptoDevice engine 


Enable use of a cryptographic 
hardware accelerator 


[SSLEngine on 


SSL Engine Operation Switch 
SSLHonorCiperOrder flag 


Option to prefer the server's cipher 
preference order 


SSLMutex type 

Semaphore for internal mutual 
exclusion of operations 
[SSLOptions [+ 

Configure various SSL engine run- 
time options 
SSLPassPhraseDialog type 

Type of pass phrase dialog for 
encrypted private keys 

[SSL Protocol [* 

Configure usable SSL protocol 
flavors 

SSLProxyCACertificateFile file-path 


File of concatenated PEM-encoded 
CA Certificates for Remote Server 
Auth 


SSLProxyCACertificatePath 
directory-path 


Directory of PEM-encoded CA 
Certificates for Remote Server Auth 


SSLProxyCARevocationFile file- 
path 


File of concatenated PEM-encoded 
CA CRLs for Remote Server Auth 


SSLProxyCARevocationPath 
directory-path 


builtin 


off 


SV 


none 


-Joption ...](#calibre_link- 
863) 


builtin 


-]protocol ...] 
(calibre link-865) 


SV 


SV 


SV 


SV 


optional] 
(#calibre_link- 
860) 


svdh 


off 


SV 


Directory of PEM-encoded CA CRLs 
for Remote Server Auth 


SSLProxyCipherSuite cipher-spec 
Cipher Suite available for 
negotiation in SSL proxy handshake 
[SSLProxyEngine on 

SSL Proxy Engine Operation Switch 


SSLProxyMachineCertificateFile 
filename 


File of concatenated PEM-encoded 
client certificates and keys to be 
used by the proxy 


SSLProxyMachineCertificatePath 
directory 


Directory of PEM-encoded client 
certificates and keys to be used by 
the proxy 


[SSLProxyProtocol [+ 
Configure usable SSL protocol 
flavors for proxy usage 
SSLProxyVerify level 


Type of remote server Certificate 
verification 


SSLProxyVerifyDepth number 


Maximum depth of CA Certificates 
in Remote Server Certificate 
verification 


SSLRandomSeed context source 
[bytes] 


Pseudo Random Number Generator 
(PRNG) seeding source 


SSLRequire expression 


Allow access only when an 
arbitrarily complex boolean 
expression is true 


SSLRequireSSL 


Deny access when SSL is not used 


ALL:!ADH:RC4+RSA°:+H 


十 


off](#calibre_link-8771) 


-]protocol ...] 
(#calibre_link-874) 


none 


dh 


dh 


svdh 


off 


all 


svdh 


svdh 


SV 


SV 


Apache 2.2 中 文官 方 文档 


for the HTTP request 
SSLSessionCache type none S E 


Type of the global/inter-process SSL 
Session Cache 


SSLSessionCacheTimeout seconds 300 SV E 


Number of seconds before an SSL 
session expires in the Session 
Cache 


SSLUserName varname sdh E 


Variable name to determine user 
name 


SSLVerifyClient level none svdh E 
Type of Client Certificate verification 
SSLVerifyDepth number 1 svdh E 


Maximum depth of CA Certificates 
in Client Certificate verification 


StartServers number S M 
服务 器 启动 时 建立 的 子 进程 数 

StartThreads number S M 
服务 器 启动 时 建立 的 线程 数 

SuexecUserGroup User Group SV E 


运行 CGI 程序 的 用 户 和 组 


ThreadLimit number S M 

每 个 子 进 程 可 配置 的 线程 数 上 限 

ThreadsPerChild number S M 

每 个 子 进 程 建立 的 线程 数 

ThreadStackSize size S M 

处 理 客户 端 连 接 的 线程 使 用 的 栈 尺寸 

Cg) 

TimeOut seconds 300 S C 


服务 器 在 断定 请 求 失败 前 等 待 的 秒 数 


extended]] 
[TraceEnable [on off (calibre link- on 
882) 


确定 如 何 处 理 TRACE 请 求 


[TransferLog file 

指定 日 志文 件 的 位 置 
TypesConfig file-path 

指定 mime.types 文 件 的 位 置 


UnsetEnv env-variable [env- 
variable] ... 


删除 一 个 环境 变量 
[UseCanonicalName On 


配置 服务 器 如 何 确定 它 自 己 的 域名 和 
端口 


[UseCanonicalPhysicalPort On 


配置 服务 器 如 何 确定 自己 的 名 字 和 端 
口 


User unix-userid 

实际 服务 于 请 求 的 子 进程 运行 时 的 用 
户 

UserDir directory-filename 

用 户 网 站 目录 的 位 置 


[VirtualDocumentRoot interpolated- 
directory 


对 于 给 定 的 基于 名 称 的 虚拟 主机 动态 
配置 根 文档 目录 


[VirtualDocumentRootIP 
interpolated-directory 


对 于 给 定 的 基于 IP 的 虚拟 主机 动态 配 
置 根 文档 目录 


<VirtualHost addr[:port] [addr[:port]] 
.> ... </VirtualHost> 


包含 仅 作 用 于 指定 主机 名 或 IP 地 址 的 
BA 
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[VirtualScriptAlias interpolated- 
directory 


对 于 给 定 的 基于 名 称 的 虚拟 主机 动态 
配置 CGI 目录 


[VirtualScriptAliasIP interpolated- 


pipe](#calibre_link-276) 


conf/mime.types 


svdh 


Off 


Off](#calibre_link-469) 


#-1 


SV 


none](#calibre_link-676) 


none](#calibre_link-675) 


none](#calibre_link-677) 


none](#calibre_link-883) 


SV 


DNS] 
(#calibre_link- 
102) 


Off 


none 


none 


none 


none 


SW 


SV 


SV 


SV 


SV 


对 于 给 定 的 基于 IP 的 虚拟 主机 动态 配 


证 CGI 目 录 

Win32DisableAcceptEx S M 

使 用 accept() 代 替 AcceptEx() 接 受 网 

络 链接 
full] 

[XBitHack on off (calibre link- off 
285) 


Parse SSI directives in files with the 
execute bit set 
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译 者 声明 


由 于 译 者 水 平 有 限 ， 因 此 不 能 保证 译文 准确 无 误 ， 请 在 使 用 中 自行 鉴别 。 

。 本 手册 虽然 不 是 软件 ， 但 是 本 着 GPL 的 精神 发 布 。 

。 中 译 版 每 个 页 面 的 版 权 分 别 属于 每 个 页 面 的 译 者 。 

任何 人 都 可 以 自由 使 用 、 分 发 、 转 载 ， 包 括 对 本 文档 进行 各 种 商业 性 的 或 是 非 商 业 性 的 
复制 和 再 分 发 ， 但 必须 保留 译 者 署名 ， 亦 不 得 对 声明 中 的 任何 条 款 作 任 何 形式 的 修改 ， 
也 不 得 附加 任何 其 它 的 条 件 。 

您 可 以 自由 链接 、 下 载 、 传 播 此 文档 ， 或 者 放置 在 您 的 网 站 上 ， 甚 至 作为 产品 的 一 部 分 
发 行 。 但 前 提 是 必须 保证 全 文 完整 转载 ， 包 括 完整 的 版 权 信 息 和 作 译 者 声明 。 这 里 " 完 
整 " 的 含义 是 ， 不 能 进行 任何 删除 /增添 /注解 。 若 有 删除 /增添 /注解 ， 必 须 逐 段 明确 声明 那 
些 部 分 并 非 本 文档 的 一 部 分 。 


最 新 版 本 


译 者 将 会 不 定期 的 根据 用 户 提 交 的 修改 意见 以 及 官方 手册 进行 更 新 ， 最 新 的 版 本 可 以 在 如 下 

位 置 获得 

e 电信 用 户 请 访问 : Apache 2.2 中 文 手册 
http://lamp.linux.gov.cn/Apache/ApacheMenu/index.html 

e 网 通用 户 请 访问 : Apache 2.2 中 文 手册 
http://www.dogdoghome.com/lamp/Apache/ApacheMenu/index.html 


打包 下 载 : 


e 电信 用 户 :rar bz2 zip pdf chm 
e 网 通用 户 :rar bz2 zip pdf chm 


fas Sea 


一 方面 由 于 译 者 水 平 有 限 ， 不 可 能 精通 Apache 的 所 有 方面 ， 为 了 保证 翻译 质量 ， 某 些 不 熟悉 
的 章节 不 敢 冒 然 翻译 ; 另 一 方面 由 于 译 者 人 数 有 限 、 精 力也 有 限 ， 单 靠 一 人 或 察 究 数 人 之 力 
很 难 完成 所 有 内 容 。 但 是 “众人 拾 柴 火焰 高 "， 我 们 期 待 翻 译作 风 严 并、 热爱 开源 的 兄弟 姐妹 加 
入 到 这 个 项 目 中 来 ， 为 促进 Apache 的 应 用 和 开源 运动 在 中 国 的 发 展 尽 上 一 份 绵薄 之 力 。 同 时 
也 了 却 原 2.0 项 目 组 的 凤 愿 。 


除 此 以 外 ， 如 果 你 发 现 了 已 经 完成 的 译文 中 有 错误 ， 也 请 您 指出 ， 哪 怕 是 错别字 也 好 ， 任 何 
提高 译文 质量 的 建议 我 们 都 将 虚心 接纳 。 


如 果 你 希望 加 入 这 个 队伍 ， 或 者 发 现 译 文中 有 错误 ， 请 与 金 步 国联 系 ，QQ : 70171448 ; 
MSN : csfrank122@hotmail.com 


目前 的 译 者 队伍 如 下 : 


e 金 步 国 


译 者 的 其 他 作品 


本 手册 的 译 者 都 是 热爱 开源 的 兄弟 姐妹 ， 都 十 分 愿意 与 他 人 共享 劳动 成 果 ， 如 果 你 对 他 们 的 
其 他 翻译 作品 或 者 技术 文章 有 兴趣 ， 可 以 在 如 下 两 个 位 置 查看 现 有 作品 的 列表 (随时 更 新 ) : 
e 电信 用 户 请 访问 : 作品 列表 
e 网 通用 户 请 访问 : 作品 列表 


模块 索引 


以 下 是 Apache 发 行 版 中 所 有 模块 的 列表 。 字 母 顺 序列 表 参 见 指 令 素 引 和 稍微 详细 一 点 的 指 兮 
速 查 。 另外 还 有 描述 指 邻 的 术语 和 描述 模块 的 术语 以 供 参考 。 


核心 功能 和 多 路 处 理 模块 

core 

Apache HTTP 服 务 器 核心 提供 的 功能 ， 始 终 有 效 。 
mpm_common 

收集 了 被 多 个 多 路 处 理 模块 (MPM) 实 现 的 公共 指 倒 。 
beos 

专门 针对 BeOS 优 化 过 的 多 路 处 理 模块 (MPM) 

event 

一 个 标准 worker MPM 的 实验 性 变种 。 

mpm_netware 

Novell NetWare 优 化 过 的 线程 化 的 多 路 处 理 模块 (MPM) 
mpmt os2 

专门 针对 OS/2 优 化 过 的 混合 多 进程 多 线程 多 路 处 理 模 块 (MPM) 
prefork 

一 个 非 线 程 型 的 、 预 派生 的 MPM 

mpm winnt 

用 于 Windows NT/2000/XP/2003 系列 的 MPM 

worker 


线程 型 的 MPM， 实 现 了 一 个 混合 的 多 线程 多 处 理 MPM， 人 允许 一 个 子 进程 中 包含 多 个 线程 。 


其 它 普 通 模 块 


mod actions 


基于 媒体 类 型 或 请 求 方法 ， 为 执行 CGI 脚本 而 提供 

mod alias 

提供 从 文件 系统 的 不 同 部 分 到 文档 树 的 映射 和 URL 重 定向 
mod_asis 

发 送 自己 包含 HTTP 头 内 容 的 文件 

mod auth basic 

使 用 基本 认证 

mod auth digest 

使 用 MD5 摘 要 认证 (更 安全 ， 但 是 只 有 最 新 的 浏览 器 才 支 持 ) 
mod_authn_alias 

基于 实际 认证 支持 者 创建 扩展 的 认证 支持 者 ， 并 为 它 起 一 个 别名 以 便于 引用 
mod authn anon 

提供 匿名 用 户 认 证 支持 

mod authn dbd 

使 用 SQL 数据 库 为 认证 提供 支持 

mod_authn_dbm 

使 用 DBM 数 据 库 为 认证 提供 支持 

mod authn default 

在 未 正确 配置 认证 模块 的 情况 下 简单 拒绝 一 切 认 证 信息 
mod authn file 

使 用 纯 文 本 文件 为 认证 提供 支持 

mod authnz ldap 

允许 使 用 一 个 LDAP 目 录 存 储 用 户 名 和 密码 数据 库 来 执行 基本 认证 和 授权 
mod authz dbm 

使 用 DBM 数 据 库 文件 为 组 提供 授权 支持 

mod authz default 


在 未 正确 配置 授权 支持 模块 的 情况 下 简单 拒绝 一 切 授权 请 求 


mod authz groupfile 

使 用 纯 文 本 文件 为 组 提供 授权 支持 

mod authz host 

供 基 于 主机 名 、IP 地 址 、 请 求 特征 的 访问 控制 

mod authz owner 

基于 文件 的 所 有 者 进行 授权 

mod authz user 

基于 每 个 用 户 提供 授权 支持 

mod autoindex 

自动 对 目录 中 的 内 容 生成 列表 ， 类 似 于 "ls" 或 "dir" 命 兮 
mod cache 

基于 URI 键 的 内 容 动态 缓冲 (内 存 或 磁盘 ) 

mod cern meta 

允许 Apache 使 用 CERN httpd 元 文件 ， 从 而 可 以 在 发 送 文件 时 对 头 进 行 修 改 
mod cgi 

在 非 线程 型 MPM( prefork ) 上 提供 对 CGI 脚本 执行 的 支持 
mod cgid 

在 线程 型 MPM( worker ) 上 用 一 个 外 部 CGI 守护 进程 执行 CGI 脚本 
mod charset lite 

允许 对 页 面 进行 字符 集 转换 

mod_dav 

允许 Apache 提 供 DAV 协 议 支 持 

mod dav fs 

为 mod dav 访问 服务 器 上 的 文件 系统 提供 支持 
mod dav lock 

A mod dav 锁定 服务 器 上 的 文件 提供 支持 


mod dbd 


管理 SQL 数据 库 连 接 ， 为 需要 数据 库 功 能 的 模块 提供 支持 
mod deflate 

压缩 发 送 给 客户 端的 内 容 

mod dir 

指定 目录 索引 文件 以 及 为 目录 提供 " 尾 斜 杠 " 重 定向 

mod disk_cache 

基于 磁盘 的 缓冲 管理 器 

mod dumpio 

将 所 有 IO 操作 转 储 到 错误 日 志 

mod echo 

一 个 很 简单 的 协议 演示 模块 

mod env 

人 允许 Apache 修 改 或 清除 传送 到 CGI 脚本 和 SSI 页 面 的 环境 变量 
mod example 

一 个 很 简单 的 Apache 模 块 API 演 示 模 块 

mod expires 

允许 通过 配置 文件 控制 HTTP 的 " Expires: "WI" cache-control: "KAR 
mod_ext filter 

使 用 外 部 程序 作为 过 滤器 

mod file cache 

提供 文件 描述 符 缓存 支持 ， 从 而 提高 Apache 性 能 

mod filter 

根据 上 下 文 实际 情况 对 输出 过 滤器 进行 动态 配置 

mod headers 

允许 通过 配置 文件 控制 任意 的 HTTP 请 求 和 应 答 头 信息 
mod ident 


实现 RFC1413 规 定 的 ident 查 找 


mod imagemap 

义理 服务 器 端 图 像 映射 

mod include 

实现 服务 端 包 含 文档 (SSI) 处 理 

mod_info 

生成 Apache 配 置 情况 的 Web 页 面 

mod isapi 

仅 限于 在 Windows 平 台 上 实现 ISAPI 扩 展 

mod ldap 

为 其 它 LDAP 模 块 提供 LDAP 连 接 池 和 结果 缓冲 服务 

mod log_config 

允许 记录 日 志和 定制 日 志文 件 格式 

mod log forensic 

实现 "对 比 日 志 "， 即 在 请 求 被 处 理 之 前 和 处 理 完 成 之 后 进行 两 次 记录 
mod_logio 

对 每 个 请 求 的 输入 /输出 字 节 数 以 及 HTTP 头 进行 日 志 记 录 
mod mem cache 

基于 内 存 的 缓冲 管理 器 

mod_mime 

根据 文件 扩展 名 决定 应 答 的 行为 (处 理 器 /过 滤器 ) 和 内 容 (MIME 类 型 /语言 /字符 集 / 编 码 ) 
mod mime magic 

通过 读 取 部 分 文件 内 容 自动 猜测 文件 的 MIME 类 型 
mod_negotiation 

提供 内 容 协商 支持 

mod nw ssl 

仅 限于 在 NetWare 平 台 上 实现 SSL 加 密 支 持 


mod proxy 


提供 HTTP/1.1 的 代理 /网 关 功 能 支持 
mod proxy ajp 
mod proxy 的 扩展 ， 提 供 Apache JServ Protocol sz fs 
mod proxy balancer 
mod proxy 的 扩展 ， 提 供 负载 平衡 支持 
mod_proxy_connect 
mod proxy 的 扩展 ， 提 供 对 处 理 HTTP connect 方法 的 支持 
mod_proxy_ftp 
mod proxy 的 FTP 支 持 模块 
mod proxy http 
mod proxy 的 HTTP 支 持 模块 
mod rewrite 
一 个 基于 一 定 规则 的 实时 重 写 URL 请 求 的 引擎 
mod_setenvif 
根据 客户 端 请 求 头 字段 设置 环境 变量 
mod so 
允许 运行 时 加 载 DSO 模 块 
mod speling 
自动 纠正 URL 中 的 拼写 错误 
mod ssl 
使 用 安全 套 接 字 层 (SSL) 和 传输 层 安 全 (TLS) 协 议 实 现 高 强度 加 密 传 输 
mod status 
生成 描述 服务 器 状态 的 Web yi TBI 
mod suexec 
使 用 与 调用 web 服 务 器 的 用 户 不 同 的 用 户 身份 来 运行 CGI 和 SSI 程 序 
mod unique id 


为 每 个 请 求生 成 唯一 的 标识 以 便 跟踪 


mod_userdir 

允许 用 户 从 自己 的 主 目录 中 提供 页 面 (使 用 /~username'") 

mod usertrack 

使 用 Session 跟 踪 用 户 (会 发 送 很 多 Cookie)， 以 记录 用 户 的 点 击 流 
mod version 

提供 基于 版 本 的 配置 段 支 持 

mod vhost alias 


提供 大 批量 虚拟 主机 的 动态 配置 支持 


Apache 2.2 中 文官 方 文 档 


Jb Ea SF A 


本 页 列 出 了 当前 所 有 可 用 的 Apache HTTP Server Version 2.2 文档 。 


发 行 说 明 


致谢 与 译 者 声明 

从 1.3 升级 到 2.0 

从 2.0 升级 到 2.2 
Apache 2.1/2.2 的 新 特性 
Apache 2.0 的 新 特性 


Apache License 


Apache HTTP 服 务 器 的 使 用 


编译 与 安装 Apache 

启动 Apache 

停止 和 重新 启动 服务 器 

配置 文件 
Directory、Location、 Files 配置 段 的 工作 方式 
缓冲 指南 

服务 器 全 局 配置 

日 志文 件 

从 URL 到 文件 系统 的 映射 

安全 方面 的 提示 

动态 共享 对 象 (DSO) 支 持 

内 容 协商 

自 定 义 错误 响应 

设置 Apache 绑 定 的 地 址 和 端口 
多 路 处 理 模 块 (MPM) 
Apache 的 环境 变量 
Apache 4:38 45 B^] [s FH 
suEXECx f$ 

性 能 方面 的 提示 

URL= Stam 


站 点 导航 
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Apache 虚 拟 主 机 文档 


e 概述 

e 基于 主机 名 的 虚拟 主机 
e 基于 IP 地 址 的 虚拟 主机 
e 动态 配置 大 量 虚 拟 主 机 
e 虚拟 主机 的 例子 

。 虚拟 主机 匹配 的 深入 讨论 
。 文件 描述 符 的 限制 

e 关于 DNS 和 Apache 


Apache 服 务 器 常见 问题 解答 


。 概述 (背景 知识 /支持 /错误 信息 ) 


Apache 的 SSL/TLS 加 密 


e 概述 

e SSL/TLS 加 密 : Aj] 

e SSL/TLS 加 密 : 兼容 性 

e SSL/TLS 加 密 : 如 何 .… 

e SSL/TLS 加 密 : 常见 问题 解答 


虽 导 性 文档 


e 概述 

e 认证、 授权、 访问 控 制 
e CGI 动态 页 面 

。 服务 器 端 包 含 (SS1) 入 门 
e .htaccess 文件 

e 用 户 网 站 目录 


针对 特定 平台 的 说 明 


e 概述 

e 在 Microsoft Windows 中 使 用 Apache 
e 在 Microsoft Windows 中 编译 Apache 
e 在 Novell NetWare 中 运行 Apache 





Apache 2.2 中 文官 方 文档 


e 在 HPUX 上 运行 高 性 能 网 络 服务 器 


Apache HTTP 服 务 器 和 支持 程序 


Ju 
未 





Apache 对 EBCDIC 的 移植 


httpd 

ab 

apachectl 
apxs 
configure 
dbmmanage 
htcacheclean 
htdbm 
htdigest 
htpasswd 
logresolve 
rotatelogs 
suexec 


其 他 程序 


项 文档 


相关 标准 和 规范 


Apache 模 块 


描述 Apache 模 块 的 术语 
描述 Apache 指 邻 的 术语 


核心 (Core) 模 块 


多 路 义理 模块 (MPM) 的 公用 指令 
beos(MPM) 

event(MPM) 

netware(MPM) 

os2(MPM) 

prefork(MPM) 

winnt(MPM) 
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Apache 2.2 中 文官 方 文 档 


e worker(MPM) 
e mod actions 


e mod alias 

e mod asis 

e mod auth basic 
e mod auth digest 
e mod authn alias 
e mod authn anon 
e mod authn dbd 
e mod authn dbm 
e mod authn default 
e mod authn file 

e mod authnz ldap 
e mod authz dbm 
e mod authz default 
e mod authz groupfile 
e mod authz host 
e mod authz owner 
e mod authz user 
e mod autoindex 

e mod cache 

e mod cern meta 
e mod cgi 

e mod cgid 

e mod charset lite 
e mod dav 

e mod dav fs 

e mod dav lock 

e mod dbd 

e mod deflate 

e mod dir 

e mod disk cache 
e mod dumpio 

e mod echo 

e mod env 

e mod example 

e mod expires 

e mod ext filter 

e mod file cache 
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Apache 2.2 中 文官 方 文档 


e mod filter 

e mod headers 

e mod ident 

e mod imagemap 
e mod include 

e mod info 

e mod isapi 

e mod ldap 

e mod log config 
e mod log forensic 
e mod logio 

e mod mem cache 
e mod mime 

e mod mime magic 
e mod negotiation 
e mod nw ssl 

e mod proxy 

e mod proxy ajp 
e mod proxy balancer 
e mod proxy connect 
e mod proxy ftp 

e mod proxy http 
e mod rewrite 

e mod setenvif 

e mod so 

e mod speling 

e mod ssl 

e mod status 

e mod suexec 

e mod unique id 
e mod userdir 

e mod usertrack 

e mod version 

e mod vhost alias 


开发 者 文档 


e 概述 
e Apache API 备忘录 
e APR 中 内 存 分 配 的 调试 
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Apache 2.2 中 文官 方 文档 


。 Apache2.0 文 档 制 作 

e Apache2.0 中 的 Hook 郴 数 

e 将 模块 从 Apache1.3 转 化 为 Apache2.0 
e Apache2.0 中 对 请 求 的 处 理 

e Apache2.0 中 处 理 器 的 运作 


词汇 和 索引 


e 词汇 表 

e 模块 索引 
e 指令 索引 
。 指令 速 查 
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